Terra DeFi漏洞：9000万美元被盗！

MirrorProtocol建立在Terra区块链之上，但在TerraUSD（UST）稳定币失去与美元的锚定之后，其姊妹代币Luna在本月早些时候也被拖累到几乎一文不值。经过混乱的几周后，社区投票通过了硬分叉的Terra2.0以消弭影响，而原始链则改名为TerraClassic。

本文提到的漏洞是由Terra社区成员兼分析师“FatMan”曝光。他是最新推出的Terra2.0区块链最直言不讳的反对者之一。同时，安全公司BlockSec通过分析特定的漏洞利用交易证实了FatMan的发现。

Mirror允许用户在Mirror上做空时，必须将包括UST、LUNAClassic（LUNC）和mAssets在内的抵押品锁定至少14天。交易结束后，用户可以解锁抵押品，并将资产释放回钱包，所有相关操作都是在智能合约生成的ID号的帮助下完成的。然而，由于代码上的Bug，Mirror的锁定合约未能检查何时有人多次使用同一个ID来提取资金。

于是，在2021年10月，一不知名的实体发现了这一漏洞，并借此利用重复ID列表来反复解锁数以百倍的抵押品，这意味着肇事者能够在没有任何授权的情况下提取资金。区块链记录显示，该实体总共窃取了约9000万美元的资金。然而更让人感到无语的是，这一漏洞直到七个月后才被人曝光。

通常情况下，为透明起见，项目方会尽快向公众通报安全事件，即便类似MirrorProtocol漏洞的事件相当罕见。BlockSec指出，与ETH和兼容区块链相比，Terra上扫描相关问题的人较少，因此该漏洞迟迟未被公众所知。此外，在Mirror网站上，没有界面可以查看协议中抵押品总量，这使得在不筛选大量区块链数据的情况下更难发现相关漏洞。

本月早些时候，在UST稳定币开始崩溃的同时，Mirror开发人员悄悄修复了该漏洞。补丁发布一周后，社区成员开始怀疑是否存在漏洞。然而，这并不是黑客首次盯上加密货币的区块链协议。比如，在2022年3月，黑客从Ronin侧链窃走6亿美元之后一周，无法提取资金的人们才意识到有糟糕的事情发生。

最后，被美国证券交易委员会（SEC）调查的MirrorProtocol尚未就此事发表官方评论。TheBlock向Mirror/TerraformLabs团队发去了置评请求，但截至发稿时，它们都未回应。

热点：BLURR 比特币漏洞 虚拟币漏洞 BTE tena币