Terra:Terra分叉带来黑客「新套利」，Mirror Protocol损失200万美元事件分析

北京时间2022年5月30日21::46:19,，CertiK审计团队监测到一起针对MirrorProtocol的攻击。截至撰稿时，总损失约为200万美元。

此次攻击的主要原因在于Terra验证节点在分叉后没有更新，导致价格预言机不准确——报告了LUNA，而非实际的LUNC。

这使得用户通过抵押LUNC借贷到的资产远大于提供抵押的金额。

攻击步骤

该次攻击中有多笔用户存入LUNC并借贷其他资产的交易。

某次交易示例如下：

由于Terra验证节点没有及时更新价格预言机，该笔交易允许攻击者抵押10万枚LUNC贷款30,275枚DOT。

谷歌两个月前已经以1亿美元收购推特持股的Alter:10月28日消息，据知情人士向透露，谷歌已经以约1亿美元的价格收购了人工智能(AR)虚拟形象初创公司Alter，以丰富谷歌游戏的内容。Alter帮助创作者和品牌表达他们的虚拟身份。该消息人士称，收购已于约两个月前完成，但两家公司均未向公众披露。Alter的一些高管已经更新了他们的LinkedIn资料，分享他们已经加入谷歌的事情，但没有提及这桩收购。据悉，Alter获得了来自Play Ventures、Roosh Ventures和推特等投资者的300万美元种子资金。（财联社）[2022/10/28 11:50:28]

漏洞分析

Kickstarter 将在 Celo 上启动基于区块链的众筹项目:据官方消息，Kickstarter 公司周三在一篇博客文章中表示， Kickstarter正在创建一家新公司，以在 Celo 区块链上建立一个众筹平台。Kickstarter 表示，为了实现其让尽可能多的人从事创意项目的使命，它正在开发一种开源协议，以创建其平台核心功能的去中心化版本。该协议将存在于碳负区块链平台 Celo 上，可供合作者、贡献者甚至众筹竞争对手建立和使用。总部位于纽约的 Kickstarter 表示，它选择 Celo 是因为“它致力于最大限度地减少对环境的影响（并通过移动访问区块链专注于全球可访问性）。协议准备就绪后，Kickstarter 会将其现有网站切换到新系统。该公司还正在建立一个由目的基金会的联合创始人兼最近执行董事 Camille Canon 领导的治理实验室，以监督协议的开发。（Coindesk）[2021/12/9 13:00:27]

在Terra分叉之后，现在的Terra已分为：

Soteria IFO开盘超募22.7倍 破Pancake最高记录:据官方消息，保险平台Soteria于今日下午4:00联合PancakeSwap正式开启IFO。IFO开启后 ，一分钟便超募，总募资数额超过计划22.7倍，打破了PancakeSwap上其他项目最高14倍的记录。未认购成功的资金将等比例退还。一小时的募资期间，总共吸引了超过1000位用户的参与。

IFO后，PancakeSwap还于下午5:00将Soteria 加入其“糖浆池”（Syrup Pool）。30天内用户可以在糖浆池中质押CAKE代币并挖取共计200,000 枚wSOTE代币。Pancake还同时开启了wSOTE-BNB质押挖矿，在活动开始的前48小时内，用户质押将获得2倍的CAKE奖励，而在48小时后将获得1倍的CAKE奖励。用户除参与平台本身的IFO外，既可以通过质押CAKE获得额外wSOTE代币，也可以参与wSOTE-BNB再获得CAKE。[2021/1/21 16:43:09]

①TerraClassic，LUNA价值0.0001美元。

②Terra2.0，其LUNA价格约为5美元。

Mirrorprotocol运行于旧的Terra链上，并使用TerraClassic提供的价格预言机服务来确定LUNA价格。

然而，一些验证者在TerraClassic分叉后并没有更新他们的软件，并且报告的是分叉后的LUNA价格而非LUNC的价格。

例如在下方这笔交易中，TerraClassic的验证节点报告的LUNC价格约为5美元，而不是0.0001美元。

在正常情况下，假如一个用户想在Mirrorprotocol上进行贷款，他需要提供更多的抵押品以进行借贷，比如提供2万美元的抵押来借贷1万美元。

也就是需要提供整整2亿枚价值0.0001美元的LUNC代币来进行抵押，但如果是使用价值5美元的LUNA，则只需要提供4000枚。

然而，由于一些验证器已经过时，导致预言机提供了LUNA的价格而非LUNC的价格，攻击者仅需提供4000枚LUNC即可借贷到1万美元。

目前，如Orion.money的部分验证者已修复该漏洞：

资产去向

据FatManTerra证明，Mirrorprotocol的损失已达200万美元。

因价格预言机导致的攻击事件绝非一例，预言机不应成为链上「套利」专用工具。

加密领域安全风险层出不穷，项目团队应尽可能提高相关警惕并时刻关注安全事件以自查，并及时完善和审计合约代码。

参考链接：

https://twitter.com/FatManTerra/status/1531365988809293825

https://finder.terra.money/classic/tx/F830681D8FEACC4DA67E84D40C49F0FF805609F2BB5CCC39A0EFE66257F2D791

https://forum.mirror.finance/t/another-exploit/3511

https://twitter.com/ChainLinkGod/status/1531384782046711808

https://twitter.com/blockpane/status/1531369644531101696

https://cointelegraph.com/news/luna-classic-lunc-pricing-error-leads-to-mirror-protocol-exploit

标签：TERLUNTerraUNCterra币价格FairLunarTerraClassicUSDLaunchMyNFT

XMR热门资讯