Terra分叉帶來黑客「新套利」，Mirror Protocol損失200萬美元事件分析-ODAILY_TER

北京時間2022年5月30日21::46:19,，CertiK審計團隊監測到一起針對MirrorProtocol的攻擊。截至撰稿時，總損失約為200萬美元。

此次攻擊的主要原因在于Terra驗證節點在分叉后沒有更新，導致價格預言機不準確——報告了LUNA，而非實際的LUNC。

這使得用戶通過抵押LUNC借貸到的資產遠大于提供抵押的金額。

漏洞交易

https://finder.terra.money/classic/tx/F830681D8FEACC4DA67E84D40C49F0FF805609F2BB5CCC39A0EFE66257F2D791

Peter Schiff將拍賣其BTC Ordinals NFT藝術收藏:金色財經報道，加密貨幣批評者Peter Schiff多年來一直討厭加密貨幣，兩年前還稱NFT毫無價值，而且很容易復制，但他準備發布一套基于比特幣的NFT藝術收藏，很快就會進行拍賣。Schiff在5月27日的推特上發布“Golden Triumph”系列。該系列將通過從6月2日開始到6月9日結束的兩部分拍賣出售。對于Ordinals，出價最高的人將獲得該系列的#1，接下來的49個最高出價者將獲得#2——#50。[2023/5/27 9:45:56]

參考：https://forum.mirror.finance/t/another-exploit/3511

Twitter的140件NFT在OpenSea交易量突破500萬美元:8月10日消息，Twitter在6月30日發布的NFT系列“The 140 Collection”在OpenSea NFT市場上創造了1700 ETH（530萬美元）的總交易量。雖然這個數字遠低于Axis Infinity和CryptoPunks等NFT項目，但對于僅140件NFT來說，這是一個相當大的交易量。該系列所有代幣都是各種與Twitter相關的短GIF，包括動畫和與平臺品牌某些方面互動的角色。該系列包含七種不同的設計，每種有20件NFT代幣，Twitter仔細挑選了140名對宣布贈送NFT的主要推文做出回應的用戶。不久之后，獲選者成立了一個組織，目標是讓他們的新數字資產發揮最大價值。

此前消息，推特官方賬號在6月30日將自己的推特簡介更改為“整天發布 NFT（dropping NFTs all day）”，并發推表示“為你們中的140人提供140個免費的NFT（140 free NFTs for 140 of you）”。（The Block）[2021/8/10 1:46:43]

攻擊步驟

TokenBetter將對NULS持有者進行NVT空投:據官方公告，TokenBetter將會支持NULS持有者接收NVT（NerveNetwork）的空投。計劃在NULS主網高度2620000時（大約2020年7月12日）進行快照，并對NULS持有人按照10NULS：1NVT比例空投。[2020/6/16]

該次攻擊中有多筆用戶存入LUNC并借貸其他資產的交易。

某次交易示例如下：

由于Terra驗證節點沒有及時更新價格預言機，該筆交易允許攻擊者抵押10萬枚LUNC貸款30,275枚DOT。

動態 | EOS Nation贊助EOSwriter進行EOSIO教育和社區發展:據 IMEOS消息，EOS節點 Nation 贊助 EOSwriter 進行 EOSIO 教育和社區發展。EOSwriter是一個社區驅動的媒體渠道，專注于EOSIO社區，提供有關EOSIO軟件及其通過EOS公共網絡，側鏈和分散應用程序部署的新聞和文章。[2019/7/8]

漏洞分析

在Terra分叉之后，現在的Terra已分為：

①TerraClassic，LUNA價值0.0001美元。

②Terra2.0，其LUNA價格約為5美元。

Mirrorprotocol運行于舊的Terra鏈上，并使用TerraClassic提供的價格預言機服務來確定LUNA價格。

然而，一些驗證者在TerraClassic分叉后并沒有更新他們的軟件，并且報告的是分叉后的LUNA價格而非LUNC的價格。

例如在下方這筆交易中，TerraClassic的驗證節點報告的LUNC價格約為5美元，而不是0.0001美元。

在正常情況下，假如一個用戶想在Mirrorprotocol上進行貸款，他需要提供更多的抵押品以進行借貸，比如提供2萬美元的抵押來借貸1萬美元。

也就是需要提供整整2億枚價值0.0001美元的LUNC代幣來進行抵押，但如果是使用價值5美元的LUNA，則只需要提供4000枚。

然而，由于一些驗證器已經過時，導致預言機提供了LUNA的價格而非LUNC的價格，攻擊者僅需提供4000枚LUNC即可借貸到1萬美元。

目前，如Orion.money的部分驗證者已修復該漏洞：

Orion.money昨日提供的LUNA價格

Orion.money今日提供的LUNC價格

資產去向

據FatManTerra證明，Mirrorprotocol的損失已達200萬美元。

因價格預言機導致的攻擊事件絕非一例，預言機不應成為鏈上「套利」專用工具。

加密領域安全風險層出不窮，項目團隊應盡可能提高相關警惕并時刻關注安全事件以自查，并及時完善和審計合約代碼。

參考鏈接：

https://twitter.com/FatManTerra/status/1531365988809293825

https://finder.terra.money/classic/tx/F830681D8FEACC4DA67E84D40C49F0FF805609F2BB5CCC39A0EFE66257F2D791

https://forum.mirror.finance/t/another-exploit/3511

https://twitter.com/ChainLinkGod/status/1531384782046711808

https://twitter.com/blockpane/status/1531369644531101696

https://cointelegraph.com/news/luna-classic-lunc-pricing-error-leads-to-mirror-protocol-exploit

Tags：TERLUNNFTTerraBeFaster Holder TokenLUNAPE價格UNFT價格terra幣價格

MEXC