Terra分叉帶來黑客「新套利」，Mirror Protocol損失200萬美元事件分析-ODAILY_Terra:TER

北京時間2022年5月30日21::46:19,，CertiK審計團隊監測到一起針對MirrorProtocol的攻擊。截至撰稿時，總損失約為200萬美元。

此次攻擊的主要原因在于Terra驗證節點在分叉后沒有更新，導致價格預言機不準確——報告了LUNA，而非實際的LUNC。

這使得用戶通過抵押LUNC借貸到的資產遠大于提供抵押的金額。

漏洞交易

https://finder.terra.money/classic/tx/F830681D8FEACC4DA67E84D40C49F0FF805609F2BB5CCC39A0EFE66257F2D791

鏈游The Unfettered完成250萬美元融資，Animoca Brands參投:5月23日消息，Awkay Technologies 公司推出的首個區塊鏈游戲項目The Unfettered宣布完成250萬美元融資，Vendetta Capital和Icetea Labs領投，Animoca Brands、Morningstar Ventures、Bridge Mutual、Momentum6、FomoCraft、GAINS Associates、Paribu Ventures、Cryowar、Gate.io Labs、AU21、ZBS Capital、Good Games Labs、BreederDAO、PolkaCity、RBL Labs等參投。

The Unfettered是一款類魂系列游戲，采用邊玩邊賺P2E模式，本次募資將幫助其改進游戲內容。（雅虎財經）[2022/5/23 3:36:24]

參考：https://forum.mirror.finance/t/another-exploit/3511

聲音 | 幣安：投資Terra是因為其或有3000萬的用戶基數:針對幣安等公司投資TMON來創建名為Terra的穩定幣，近日幣安方面回應表示，TMON是韓國的第二大電商平臺（與第一名市場份額相差5%)。Terra穩定幣是TMON的創始人全職創業的第二家公司，因為他的關系，Terra將會有3000萬的用戶基數。這是幣安選擇投資Terra的原因。[2018/8/30]

攻擊步驟

該次攻擊中有多筆用戶存入LUNC并借貸其他資產的交易。

某次交易示例如下：

由于Terra驗證節點沒有及時更新價格預言機，該筆交易允許攻擊者抵押10萬枚LUNC貸款30,275枚DOT。

動態 | 創業融資平臺Boomstarter Network開始使用區塊鏈技術:7月17日消息，Boomstarter Network是一個基于區塊鏈的創業融資平臺，該金融科技公司正在將其為初創公司提供預購服務的現有業務代幣化。現在Boomstarter.Network開始致力于使用區塊鏈技術和推動加密貨幣走向全球。Boomstarter.Network代幣銷售的貢獻者包括DTI，這是一家提供專業投資服務和資產管理的對沖基金。DTI的執行合伙人Alex Butmanov先生說:“憑借公司在該市場多年的經驗，Boomstarter.Network有很好的機會在全球范圍內實現擴展。我們的研究表明，參與眾籌的人中有很大一部分不希望再受到過度監管的阻礙。無邊界的眾籌將成為測試未來產品需求的一種非常有效的工具。”[2018/7/17]

Twitter首席執行官稱：Square不會禁止買賣比特幣:由Twitter首席執行官Jack Dorsey創辦的支付應用程序Square正在加倍押注數字貨幣。Dorsey在公司第四季度財報電話會議上告訴分析師：“對我們來說，不會停止比特幣的買入和賣出，我們確信，這是我們行業的一項變革性技術，我們希望盡快學習。”Square自2017年11月宣布支持數字貨幣。[2018/2/28]

漏洞分析

在Terra分叉之后，現在的Terra已分為：

①TerraClassic，LUNA價值0.0001美元。

②Terra2.0，其LUNA價格約為5美元。

Mirrorprotocol運行于舊的Terra鏈上，并使用TerraClassic提供的價格預言機服務來確定LUNA價格。

然而，一些驗證者在TerraClassic分叉后并沒有更新他們的軟件，并且報告的是分叉后的LUNA價格而非LUNC的價格。

例如在下方這筆交易中，TerraClassic的驗證節點報告的LUNC價格約為5美元，而不是0.0001美元。

在正常情況下，假如一個用戶想在Mirrorprotocol上進行貸款，他需要提供更多的抵押品以進行借貸，比如提供2萬美元的抵押來借貸1萬美元。

也就是需要提供整整2億枚價值0.0001美元的LUNC代幣來進行抵押，但如果是使用價值5美元的LUNA，則只需要提供4000枚。

然而，由于一些驗證器已經過時，導致預言機提供了LUNA的價格而非LUNC的價格，攻擊者僅需提供4000枚LUNC即可借貸到1萬美元。

目前，如Orion.money的部分驗證者已修復該漏洞：

Orion.money昨日提供的LUNA價格

Orion.money今日提供的LUNC價格

資產去向

據FatManTerra證明，Mirrorprotocol的損失已達200萬美元。

因價格預言機導致的攻擊事件絕非一例，預言機不應成為鏈上「套利」專用工具。

加密領域安全風險層出不窮，項目團隊應盡可能提高相關警惕并時刻關注安全事件以自查，并及時完善和審計合約代碼。

參考鏈接：

https://twitter.com/FatManTerra/status/1531365988809293825

https://finder.terra.money/classic/tx/F830681D8FEACC4DA67E84D40C49F0FF805609F2BB5CCC39A0EFE66257F2D791

https://forum.mirror.finance/t/another-exploit/3511

https://twitter.com/ChainLinkGod/status/1531384782046711808

https://twitter.com/blockpane/status/1531369644531101696

https://cointelegraph.com/news/luna-classic-lunc-pricing-error-leads-to-mirror-protocol-exploit

Tags：TERLUNTerraLUNCButterfly Protocollunar幣歸零ecoterra幣APplunc幣社區最新消息

幣贏交易所