Mirror Protocol, aplikasi DeFi di blockchain Terra, telah mengalami eksploitasi. Sejauh ini, lebih dari US$2 juta telah diambil dan jika bug tidak diperbaiki secepatnya, semua pools untuk berbagai aset token (tokenized asset) akan berisiko. Selain itu, Mirror juga mengalami eksploitasi lain mencapai US$90 juta yang baru diketahui 7 bulan kemudian.
Aplikasi DeFi di blockchain Terra ini memungkinkan para pengguna untuk mengambil posisi long atau short pada saham teknologi menggunakan aset sintetis. Ini berjalan di blockchain Terra lama yang sekarang disebut Terra Classic.
Terra Classic kemudian digantikan oleh blockchain baru setelah runtuhnya stablecoin TerraUSD (UST) dan native token LUNA yang sekarang disebut Luna Classic (LUNC). Meskipun telah mengalami forking dengan kemunculan Terra 2.0, blockchain lama terus berjalan.
Mirror Protocol juga memiliki versi cryptocurrency lain, seperti mBTC untuk Bitcoin yang seharusnya terkait dengan harga BTC. Naasnya, pools itulah yang sejauh ini telah dikeringkan.
Menurut situs web Mirror Protocol, pools untuk Bitcoin (mBTC), Ether (mETH), dan Polkadot (mDOT) telah terkuras. Selain itu, pool untuk token yang mewakili saham Galaxy Digital juga telah terkuras.
Anggota komunitas Terra yang dikenal sebagai FatMan, yang mewakili suara banyak pihak yang menentang cara blockchain Terra baru diluncurkan, memperkirakan bahwa lebih dari US$2 juta (sekitar Rp29 miliar) telah diambil sejauh ini.
Pools yang tersisa semuanya terikat pada saham dan tidak tersedia untuk diperdagangkan sampai perdagangan pra-market dibuka pada 31 Mei 2022 pukul 04:00 pagi Eastern Time (ET). Pada saat tenggat waktu itu datang, eksploitasi dapat digunakan untuk pools yang tersisa, kecuali jika bug diperbaiki tepat waktu.
Mengurai Akar Masalah Eksploitasi Mirror Protocol
Masalah eksploitasi ini tampaknya terkait dengan Oracle protokol. Oracle adalah cara protokol mengumpulkan data, termasuk dari dunia nyata. Dalam hal ini, Oracle mengambil data yang berkaitan dengan harga saham dan cryptocurrency tertentu.
Menurut Todd Garrison, pendiri Block Pane yang menjalankan node validator di berbagai blockchain, masalahnya adalah mayoritas validator yang mengoperasikan node pada rantai Terra Classic menjalankan versi Oracle harga yang sudah ketinggalan zaman. Akibatnya, node ini memberi tahu Mirror Protocol bahwa LUNC bernilai 5 TerraUSD (UST) atau $0,10, bukannya hanya bernilai sepersekian sen.
“Tolong perhatikan untuk memperbaiki Oracle harga LUNC, karena dalam waktu singkat, semua liquidity pools akan terkuras, Mirror akan menambah kredit macet yang tidak dapat diperbaiki, dan sistem akan runtuh dengan sendirinya. Ini bukan saatnya untuk lalai,” kata FatMan di Twitter pada 31 Mei 2022 pukul 03:04 pagi WIB.
Serangan itu telah berlangsung selama beberapa hari terakhir, tetapi sejauh ini tidak memengaruhi sebagian besar tokenized stock, karena market saham ditutup selama akhir pekan dan untuk Memorial Day di Amerika Serikat (AS).
Hal ini pertama kali diketahui pada 29 Mei 2022 waktu Indonesia oleh seseorang dengan nama samaran yang dikenal sebagai Mirroruser yang melaporkan kejadian ini di forum Mirror. Identitas tersebut memberikan beberapa alamat yang terkait dengan exploit.
Eksploitasi Bernilai US$90 Juta, Terungkap 7 Bulan Kemudian
Sebelumnya, FatMan pada 27 Mei waktu Indonesia membuat thread Twitter yang mengidentifikasi bug lain yang melibatkan Mirror Protocol. Temuan ini telah dikonfirmasi oleh analis keamanan BlockSec pada 29 Mei. Ditemukan bahwa Mirror Protocol mengalami eksploitasi US$90 juta (sekitar Rp1,3 triliun) pada Oktober 2021, yang tidak diketahui selama tujuh bulan.
Setiap kali seseorang ingin bertaruh melawan saham di Mirror, mereka harus mengunci agunan, termasuk UST, LUNA Classic (LUNC), dan mAssets selama minimal 14 hari.
Setelah perdagangan selesai, para pengguna dapat membuka kunci agunan untuk melepaskan dana kembali ke crypto wallet mereka. Semua ini dilakukan dengan bantuan nomor ID yang dihasilkan oleh smart contract.
Masalahnya, karena kode-nya memiliki bug, ‘kontrak kunci’ Mirror Protocol diduga gagal memeriksa ketika seseorang menggunakan ID yang sama lebih dari sekali untuk menarik dana.
Pada Oktober 2021, satu entitas yang tidak dikenal memperhatikan bahwa mereka dapat menggunakan daftar ID duplikat untuk berulang kali membuka kunci jaminan sebanyak ratusan kali, lebih banyak daripada yang mereka miliki. Ini pada dasarnya berarti pelaku dapat menarik dana tanpa izin.
Trusted
Penyangkalan
Seluruh informasi yang terkandung dalam situs kami dipublikasikan dengan niat baik dan bertujuan memberikan informasi umum semata. Tindakan apa pun yang dilakukan oleh para pembaca atas informasi dari situs kami merupakan tanggung jawab mereka pribadi.
