Terra分叉帶來黑客「新套利」，Mirror Protocol損失200萬美元事件分析_TER

北京時間2022年5月30日21::46:19,，CertiK審計團隊監測到一起針對MirrorProtocol的攻擊。截至撰稿時，總損失約為200萬美元。

此次攻擊的主要原因在于Terra驗證節點在分叉后沒有更新，導致價格預言機不準確——報告了LUNA，而非實際的LUNC。

這使得用戶通過抵押LUNC借貸到的資產遠大于提供抵押的金額。

攻擊步驟

該次攻擊中有多筆用戶存入LUNC并借貸其他資產的交易。

某次交易示例如下：

由于Terra驗證節點沒有及時更新價格預言機，該筆交易允許攻擊者抵押10萬枚LUNC貸款30,275枚DOT。

FTX股東名單更新：PayPal聯合創始人Peter Thiel位列其中:1月11日消息，FTX根據第11章破產程序在1月9日提交股權持有人名單，名單包含FTX多家子公司的股東姓名及其持有的股份數量、SBF核心圈子的持股詳情。其中，PayPal聯合創始人PeterThiel的關聯公司持有West Realm Shires Inc.245,000股、FTX Trading Ltd.57,230股。名單披露，貝萊德在FTX多家子公司持有大量股份，以及Coinbase Ventures、Third Point Ventures、Multicoin和Paradigm等其他知名投資者持有的股份。

據悉，自2018年以來，FTX從90多個投資者處籌集18億美元。（TheBlock）[2023/1/11 11:05:20]

漏洞分析

Jump Trading發布Terra治理提案，建議LFG推出BTC儲備池以保障UST與BTC錨定:3月24日消息，Jump Trading在Terra社區發布治理提案，建議Luna Foundation Guard（LFG）推出BTC儲備池以保障UST與BTC的錨定關系。該資金池將能夠促進BTC的流動性，以在錨定向下偏離時立即支持UST，避免脫錨的情況發生，并依靠交易者在危機解除后補充BTC儲備。[2022/3/24 14:15:13]

在Terra分叉之后，現在的Terra已分為：

①TerraClassic，LUNA價值0.0001美元。

TokenBetter即將開啟Explore-X第六期項目VOR認購:據官方公告，TokenBetter將于8月31日15:00(UTC+8)開啟Explore-X計劃的第六期項目VOR（Vortex）認購。認購結束后將于9月1日15:00(UTC+8）正式開啟VOR交易，上線VOR/TB交易對。

Vortex是一個融合Maker、Compound以及Uniswap V2等多個協議而搭建的新型去中心化借貸協議，采用現有的開放和可重組基礎架構組件，基于彼此搭建“樂高積木”，致力于以新的方式重組和擴展當前的金融設施，打造一個無需許可、人人可觸達、自由開放的去中心化金融（DeFi）世界。[2020/8/28]

②Terra2.0，其LUNA價格約為5美元。

Mirrorprotocol運行于舊的Terra鏈上，并使用TerraClassic提供的價格預言機服務來確定LUNA價格。

然而，一些驗證者在TerraClassic分叉后并沒有更新他們的軟件，并且報告的是分叉后的LUNA價格而非LUNC的價格。

例如在下方這筆交易中，TerraClassic的驗證節點報告的LUNC價格約為5美元，而不是0.0001美元。

在正常情況下，假如一個用戶想在Mirrorprotocol上進行貸款，他需要提供更多的抵押品以進行借貸，比如提供2萬美元的抵押來借貸1萬美元。

也就是需要提供整整2億枚價值0.0001美元的LUNC代幣來進行抵押，但如果是使用價值5美元的LUNA，則只需要提供4000枚。

然而，由于一些驗證器已經過時，導致預言機提供了LUNA的價格而非LUNC的價格，攻擊者僅需提供4000枚LUNC即可借貸到1萬美元。

目前，如Orion.money的部分驗證者已修復該漏洞：

資產去向

據FatManTerra證明，Mirrorprotocol的損失已達200萬美元。

因價格預言機導致的攻擊事件絕非一例，預言機不應成為鏈上「套利」專用工具。

加密領域安全風險層出不窮，項目團隊應盡可能提高相關警惕并時刻關注安全事件以自查，并及時完善和審計合約代碼。

參考鏈接：

https://twitter.com/FatManTerra/status/1531365988809293825

https://finder.terra.money/classic/tx/F830681D8FEACC4DA67E84D40C49F0FF805609F2BB5CCC39A0EFE66257F2D791

https://forum.mirror.finance/t/another-exploit/3511

https://twitter.com/ChainLinkGod/status/1531384782046711808

https://twitter.com/blockpane/status/1531369644531101696

https://cointelegraph.com/news/luna-classic-lunc-pricing-error-leads-to-mirror-protocol-exploit

Tags：TERLUNTerraLUNChamster幣推特LUNC幣多久能到5美元TerraNovaLUNCARMY

XLM