Un piratage DeFi de 90 millions de dollars découvert sept mois après les faits

Un piratage DeFi de 90 millions de dollars découvert sept mois après les faits

Points clés à retenir

  • Mirror Protocol a subi un exploit de 90 millions de dollars il y a sept mois.
  • L’attaquant a été autorisé à débloquer encore et encore des garanties du protocole tout en payant très peu de frais.
  • L’attaque n’a été découverte que ces derniers jours.

C’est le temps le plus long qu’il ait jamais fallu pour qu’un exploit cryptographique soit découvert.

Sept mois

Mirror Protocol a été piraté pour près de 90 millions de dollars sur Terra Classic le 8 octobre 2021, un utilisateur de Twitter du nom de FatMan a révélé pour la première fois le 26 mai 2022, sept mois après l’attaque.

Selon FatMan, qui dit il a découvert le piratage par « pur hasard », l’attaquant a volé 89 706 164,03 $ au protocole grâce à un exploit qui leur a permis de débloquer des garanties du contrat de verrouillage « encore et encore à peu de frais et sans risque ».

Un regard sur les données en chaîne de Terra Classic en effet révèle que l’attaquant a pu débloquer des fonds UST plusieurs fois à partir du protocole dans la même transaction, en ne payant qu’environ 17,54 $ pour le faire.

Mirror Protocol est une application décentralisée qui permet la création de synthétiques numériques qui suivent le prix des actifs du monde réel, tels que les actions. Les principaux contrats de Mirror ont été déployés sur Terra Classic, mais ses actifs sont disponibles sur Ethereum et Binance Smart Chain (BSC).

Le bogue, qui était découvert par les membres de la communauté Mirror le 17 mai, avait été discrètement corrigé par les développeurs de Mirror le 9 mai. L’équipe de développeurs n’avait fait aucun commentaire pour savoir si le bogue avait déjà été remarqué ou exploité précédemment.

A Lire aussi :   Qu'est-il arrivé à Nifty Gateway? Comment le marché NFT de Gemini a tâtonné le sac

L’équipe de Mirror Protocol n’a pas encore fait de déclaration sur l’exploit, ce qui a suscité des critiques de la part de la communauté. FatMan, cependant, pense qu’il n’y a aucune « preuve convaincante » indiquant que l’entité responsable du piratage était un initié.

Ce n’est pas la première fois qu’un exploit DeFi prend du temps à découvrir, bien que ce soit de loin le plus long qu’il ait fallu. Il avait auparavant fallu six jours à l’équipe de Ronin pour se rendre compte qu’ils avaient été exploité pour 600 millions de dollars.

Divulgation: Au moment de la rédaction de cet article, l’auteur de cet article possédait ETH et plusieurs autres crypto-monnaies.