LUN:Terra分叉帶來黑客「新套利」，Mirror Protocol損失200萬美元事件分析-ODAILY_LUNR幣

北京時間2022年5月30日21::46:19,，CertiK審計團隊監測到一起針對MirrorProtocol的攻擊。截至撰稿時，總損失約為200萬美元。

此次攻擊的主要原因在于Terra驗證節點在分叉后沒有更新，導致價格預言機不準確——報告了LUNA，而非實際的LUNC。

這使得用戶通過抵押LUNC借貸到的資產遠大于提供抵押的金額。

漏洞交易

https://finder.terra.money/classic/tx/F830681D8FEACC4DA67E84D40C49F0FF805609F2BB5CCC39A0EFE66257F2D791

Higlobe完成1400萬美元融資，Battery Ventures領投:9月20日消息，穩定幣跨境支付解決方案提供商Higlobe宣布完成1400萬美元融資，Battery Ventures領投，TTV Capital、FjLabs、Reciprocal Ventures、Paxos、DCG、Raptor Group和Gokul Rajaram參投。

Higlobe使用受美國聯邦或州機構監管公司發行的穩定幣提供零交易費跨境匯款服務，這些穩定幣都有美元或美國政府債券1:1支持，為全球遠程勞動者提供了一張高效且具有成本效益匯款方式。（Businesswire）[2022/9/21 7:09:27]

參考：https://forum.mirror.finance/t/another-exploit/3511

Terra社區研究員FatMan：有證據表明截至 6 月 3 日Do Kwon就住在新加坡:金色財經報道，據 Terra Research Forum 社區研究員 @FatMan 在社交媒體透露，一位經過核實的消息來源向他發送了視頻證據，證實截至 6 月 3 日，Do Kwon 和 TFL 創始成員 Nicholas Platias 仍住在他的新加坡房子里，當記者和代理人試圖聯系時，他卻提供了一個錯誤地址信息。FatMan補充稱：我不會分享 Do Kwon 的地址。我永遠不會那樣做，這就是我不分享視頻的具體原因，但我認為了解他所在管轄權以及他試圖向人們隱瞞信息是一個重要事實。[2022/6/3 4:00:27]

攻擊步驟

Terra鏈上DeFi鎖倉量達到195.1億美元:金色財經報道，據DefiLlama數據顯示，當前Terra鏈上DeFi鎖倉量為195.1億美元，在公鏈中排名第2位。目前，鎖倉量排名前5的公鏈分別為以太坊（1579.4億美元）、Terra（195.1億美元）、BSC（165.5億美元）、Avalanche（121.3億美元）、Solana（114.2億美元）。[2022/1/4 8:22:26]

該次攻擊中有多筆用戶存入LUNC并借貸其他資產的交易。

某次交易示例如下：

由于Terra驗證節點沒有及時更新價格預言機，該筆交易允許攻擊者抵押10萬枚LUNC貸款30,275枚DOT。

Securitize首次完成Lottery.com證券型代幣鏈上股息支付:代幣化證券發行和交易平臺Securitize已經向其發行方的一種證券型代幣持有者發放了一筆類似股息的資金。在上周五向Lottery.com證券型代幣持者人發放“版權費”時，Securitize聲稱已成為首家注冊證券記錄保管人、轉賬代理機構，同時完全在區塊鏈上為代幣持有人支付款項。（CoinDesk）[2020/6/8]

漏洞分析

在Terra分叉之后，現在的Terra已分為：

①TerraClassic，LUNA價值0.0001美元。

②Terra2.0，其LUNA價格約為5美元。

Mirrorprotocol運行于舊的Terra鏈上，并使用TerraClassic提供的價格預言機服務來確定LUNA價格。

然而，一些驗證者在TerraClassic分叉后并沒有更新他們的軟件，并且報告的是分叉后的LUNA價格而非LUNC的價格。

例如在下方這筆交易中，TerraClassic的驗證節點報告的LUNC價格約為5美元，而不是0.0001美元。

在正常情況下，假如一個用戶想在Mirrorprotocol上進行貸款，他需要提供更多的抵押品以進行借貸，比如提供2萬美元的抵押來借貸1萬美元。

也就是需要提供整整2億枚價值0.0001美元的LUNC代幣來進行抵押，但如果是使用價值5美元的LUNA，則只需要提供4000枚。

然而，由于一些驗證器已經過時，導致預言機提供了LUNA的價格而非LUNC的價格，攻擊者僅需提供4000枚LUNC即可借貸到1萬美元。

目前，如Orion.money的部分驗證者已修復該漏洞：

Orion.money昨日提供的LUNA價格

Orion.money今日提供的LUNC價格

資產去向

據FatManTerra證明，Mirrorprotocol的損失已達200萬美元。

因價格預言機導致的攻擊事件絕非一例，預言機不應成為鏈上「套利」專用工具。

加密領域安全風險層出不窮，項目團隊應盡可能提高相關警惕并時刻關注安全事件以自查，并及時完善和審計合約代碼。

參考鏈接：

https://twitter.com/FatManTerra/status/1531365988809293825

https://finder.terra.money/classic/tx/F830681D8FEACC4DA67E84D40C49F0FF805609F2BB5CCC39A0EFE66257F2D791

https://forum.mirror.finance/t/another-exploit/3511

https://twitter.com/ChainLinkGod/status/1531384782046711808

https://twitter.com/blockpane/status/1531369644531101696

https://cointelegraph.com/news/luna-classic-lunc-pricing-error-leads-to-mirror-protocol-exploit

Tags：TERLUNTerraLUNCETER幣LUNR幣ecoterra幣APpLUNC幣

狗狗幣