Сегодня стало известно, что хакеру удалось выкрасть с DeFi-протокола Mirror, который работает на базе Terra, более 90 миллионов долларов США. Данную кражу команда обнаружила лишь через 7 месяцев.
Злоумышленник выкрал активы при помощи эксплойта, который обнаружил эксперт FatMan, и подтвердили в отделе кибербезопасности проекта BlockSec.
В сервисе Mirror для открытия короткой позиции по синтетической акции нужно заблокировать залог в токенах как минимум на 2 недели. После проведения операции монеты можно выводить обратно. Для определения владельцев активов используют идентификатор, сгенерированный смарт-контрактом. Уязвимость не позволила протоколу заблокировать многократный вывод средств одним пользователем, поэтому хакеру удалось 7 месяцев назад вывести активов на 90 миллионов долларов США.
Вывод активов обнаружен только сейчас, так как на сайте Mirror не отображались данные о сумме залога, внесенного пользователем.