@FatManTerra ha vuelto con nuevas acusaciones sobre el protocolo de activos sintéticos de Terra, Mirror. En concreto, un exploit relacionado con el contrato de bloqueo de Mirror.
Desde que estalló el fiasco de Terra a principios de mayo, @FatManTerra ha ido levantando la tapa del funcionamiento interno del ecosistema de Terra. Las revelaciones pintan un cuadro de actividades sospechosas.
Las últimas acusaciones sugieren además que los usuarios de Terra han estado en la cuerda floja durante mucho más tiempo del que se suponía.
El Protocolo Espejo en el punto de mira
Los detalles compartidos a través de las redes sociales el 26 de mayo alegaron que el Protocolo Espejo podría no ser tan descentralizado como afirma
@FatManTerra tuiteó detalles de una investigación sobre las carteras de ballenas de Mirror, que sospecha que están tratando activamente de ocultar su influencia mediante la difusión de tokens MIR a través de carteras de quemadores.
«He encontrado pruebas de que este monedero y los monederos relacionados se esfuerzan por hacer que parezca que el gobierno de MIR no está controlado mayoritariamente por una sola entidad: lo hacen dividiendo MIR entre varios monederos anónimos frescos».
Uno de estos monederos está vinculado al CEO de Terraform Labs, Do Kwon, a través de una Organización Autónoma Descentralizada (DAO), de la que es asesor.
Uniendo todo esto, @FatManTerra sugiere que esto puede apuntar a que los altos cargos de la jerarquía de Terra manipulan la gobernanza y se benefician de ello.
Fresh allegations
@FatManTerra también tuiteó detalles de un exploit en el Protocolo Espejo que fue tapado hace aproximadamente 18 días, lo que coincidió con el momento en que UST perdió su clavija.
🧵👇 What if I told you that Mirror Protocol, up until 18 days ago, was susceptible to the one of the most profitable exploits of all time, allowing an attacker to generate $4.3m from $10k in a single transaction? Here’s how I discovered this – by pure serendipity. 🧵👇
– FatMan (@FatManTerra) 27 de mayo de 2022
El fallo en cuestión está relacionado con el contrato de bloqueo Mirror. En circunstancias normales, los usuarios bloquean sus garantías y, tras un periodo de retención de 14 días, pueden utilizar una función de desbloqueo para liberarlas.
Hasta la implosión del UST, el código que gobernaba la función de desbloqueo no tenía una comprobación por duplicado. Esto significa que un atacante podía liberar fondos repetidamente después del periodo de bloqueo de 14 días.
Es más, @FatManTerra alegó que el Protocolo Mirror parcheó el fallo sin informar a la comunidad Mirror de que existía.
So – this bug exists and was quietly patched up – but we don’t know if anyone ever noticed it or exploited it before. It would be hard to check since you would need to sift through months of chain data and millions of transactions – the Mirror forum didn’t bother. (5/12)
– FatMan (@FatManTerra) 27 de mayo de 2022
Otras investigaciones muestran que los atacantes han explotado el fallo cientos de veces desde octubre de 2021.
Dos cafés después, cuando estaba a punto de rendirme, encontré esto. Espera… ¿Qué está pasando aquí? Una sola transacción de octubre de 2021 desbloqueando una posición una y otra vez – y realmente se ejecutó. Aquí está la transacción: https://t.co/2pbiwqKWNT (9/12) pic.twitter.com/lklZHIYQqV
– FatMan (@FatManTerra) 27 de mayo de 2022
Suspicions se dispararon aún más cuando una de las carteras implicadas programó un vertido de UST justo antes de la suspensión del mecanismo de fijación de Terra.
Un investigador comunitario bajo el nombre de usuario PF92 dijo que al menos 88 millones de UST fueron robados a través de esta vulnerabilidad.
@FatManTerra remató la tormenta de tweets diciendo que no sabe quién es el responsable pero que seguirá investigando.
Y así es como con un poco de suerte y mucha investigación, me enteré de uno de los mayores y a la vez más simples exploits de contratos inteligentes en la historia de blockchain que pasó por debajo del radar durante casi un año. ¿Quién lo hizo? No tengo ni idea, pero intentaré averiguarlo. (12/12)
– FatMan (@FatManTerra) 27 de mayo de 2022