פרוטוקול מירור (Mirror או מראה) של חברת Terraform Labs (סימון TFL), אשר פיתחה את רשת הבלוקצ'יין טרה קלאסיק, חווה באוקטובר 2021 ניצול בגובה של 90 מיליון דולר אשר התגלה רק ביום שישי שעבר (ו'). יום לאחר מכן הושקה רשת טרה 2.0 במהלך שנוי במחלוקת. היום (ג') התגלה כי פרוטוקול מירור חווה ניצול נוסף, הפעם בשל טעות במנגנון הזנת מחירי נכסים לבלוקצ'יין, אשר הובילה לריקון הכספים בפרוטוקול.
מהם נכסי Mirror?
פרוטוקול מירור (MIR) הוא פלטפורמה ליצירת נכסים סינטטיים או נכסי מראה. נכסי מראה נקראים mAssets והם מחקים את התנהגותם של נכסים אמיתיים כגון מניות ומטבעות דיגיטליים. הם מאפשרים למשקיעים לסחור בתנודתיות של מחיר הנכסים מבלי שיצטרכו להחזיק בנכסים עצמם. כך, למשל, משקיע יכול לסחור בתנודתיות המחיר של ביטקוין (BTC) מבלי להחזיק בביטקוין אלא רק בנכס המראה שלו (mBTC).
הטעות שהובילה לניצול
המשתמש Mirroruser מהפורום של פרוטוקול מירור הבחין בניצול ביום ראשון השבוע (א'). פרוטוקול מירור נעזר בתוכנת אורקל (Oracle), אשר מזינה נתונים מהעולם שמחוץ לרשת הבלוקצ'יין אל תוכה. במקרה המדובר תוכנת האורקל דיווחה כי המחיר של מטבע לונה הקלאסי (LUNC) זהה למחיר של LUNA החדש, כאשר בפועל בזמן הזנת הנתונים מחיר LUNC היה 0.000122 ומחיר LUNA היה 9.32 דולר.
נכון לכתיבת שורות אלה נראה כי בריכות נכסי הפרוטוקול מירור, אשר הכילו mBTC, mDOT, mETH, ו-mGLXY, איבדו כמעט את כל ההחזקות שלהם בשווי של מעל 2 מיליון דולר. חבר קהילת צ'יינלינק (Chainlink), רשת אורקל המספקת מידע מקוון לחוזים חכמים, הסביר היום (ג'), כי ככל הנראה מאמתים של רשת טרה קלאסיק הריצו גרסה ישנה של תוכנת האורקל.
90 מיליון דולר נעלמו
מתברר שהניצול שהתגלה לפני מספר ימים הוא רק האחרון במה שנראה כשרשרת של מקרי ניצול קודמים בפרוטוקול מירור, שהחלו באוקטובר 2021. המשתמש FatMan, אשר סיפק בשבועות האחרונים פרשנות מתמשכת על המתרחש ברשת טרה קלאסיק, צייץ על כך ביום שישי האחרון (ו'). לדבריו, הניצול הראשון איפשר להאקר לשחרר מהפרוטוקול ערבויות של משקיעים רבים ולהעביר אל הארנק הדיגיטלי שלו למעלה מ-30 מיליון דולר.
על פי דיווח של של The Block, הניצול המדובר הסתכם למעשה בסכום של 90 מיליון דולר. חברת אבטחת המידע ברשתות בלוקצ'יין, BlockSec, אישרה את הדברים לאחר ניתוח של הטרנסקציות על הרשת.
כדי לסחור בפרוטוקול מירור על המשתמשים לנעול ערבויות לתקופה מינימלית של 14 יום. לאחר תקופת הנעילה המשתמשים יכולים לשחרר את הערבויות חזרה אל הארנקים שלהם. פעולות אלה נעשות בעזרת מספרי זיהוי המונפקים על ידי חוזה חכם.
אלא שבגלל פרצה בקוד, החוזה החכם של מירור, האחראי על נעילת הערבויות, לא בדק האם אדם משתמש באותו מספר זיהוי יותר מפעם אחת כדי למשוך את הכסף. וכך, באוקטובר 2021, מנצל הפרצה הצליח לשחרר שוב ושוב את אותן ערבויות מנעילה על ידי שימוש כפול באותו מספר זהוי. בדרך זו הוא רוקן 90 מיליון דולר מהפרוטוקול.
גילוי מאוחר
כאמור, ניצול הפרצה התגלה רק לפני שבוע, בין השאר אחרי דיון בפורום הפרוטוקול שבו תהו חברי הקהילה האם ייתכן שבוצע ניצול פרצה בקוד. נראה כי אחת הסיבות לגילוי המאוחר היא העובדה שבאתר של מירור לא היה ממשק המאפשר לבדוק את סך הערבויות הנעולות בפרוטוקול.
מירור לא מגיבה
נכון לכתיבת שורות אלה לא התקבלה תגובה בנושא מנציגי מירור. נזכיר כי הפרוטוקול נמצא תחת חקירה של הרשות לניירות ערך האמריקנית (SEC). על רקע האירועים האחרונים הטוקן של פרוטוקול מירור (MIR) איבד 2% מערכו ב-24 השעות האחרונות ונסחר, נכון לכתיבת שורות אלה במחיר של כ-0.31 דולר.