در تاریخ ۸ اکتبر ۲۰۲۱، پروتکل میرور Mirror Protocol در شبکه قدیمی ترا با آسیب امنیتی مواجه شد که ۹۰ میلیون دلار برای آنها هزینه داشت. با این حال، هیچکس این هک را تا هفته گذشته متوجه نشد.
پروتکل میرور با هدف ایجاد موقعیتهای خرید و یا فروش استقراضی در سهام شرکتهای فناوری با استفاده از داراییهای مصنوعی ایجاد شد اما فعالیت این پروتکل، اوایل ماه جاری با افت ارزش دلاری استیبلکوین و سقوط ترا، متوقف شد.
اکسپلویت exploit یا همان آسیب امنیتی توسط یکی از اعضای جامعه ترا با نام مستعار فتمن FatMan کشف شد. این فرد، یکی از مخالفین راهاندازی شبکه جدید ترا و از سر گرفتن پروژه در زنجیرهای جدید بوده است.
نحوه کار پروتکل میرور به این صورت بود که هرزمان شخصی تمایل داشت برای یک سهام، موقعیت معاملاتی ایجاد کند، باید وثیقه خود (لونا کلاسیک یا استیبلکوین ترا) را برای حداقل ۱۴ روز قفل میکرد. پس از پایان معامله، کاربران میتوانستند وثیقه خود را آزاد و دوباره به کیفپول خود انتقال دهند. همه این کارها با توجه به آیدیهای تولیدشده توسط قراردادهای هوشمند صورت میگرفت. با این حال، به خاطر وجود باگ در کد این قرارداد هوشمند، یک فرد میتوانست از یک آیدی خاص برای برداشت وجه ببشتر از یکبار استفاده کند.
در ماه اکتبر سال ۲۰۲۱، فرد یا افرادی از این باگ مطلع شدهاند و دیدهاند این امکان وجود دارد تا با لیستی از آیدیهای تکراری برای آزاد کردن وثیقهها، صدها برابر بیش از وثیقه اولیه برداشت کنند. آنها با سوء استفاده از این ضعف توانستند ۹۰ میلیون دلار از پروتکل میرور سرقت کنند.
هک و آسیبپذیری امنیتی پروتکل میرور ممکن است با وجود دادههای آنچین و شفافیت بلاک چین، یکی از موارد کمیابی باشد که توانست مدت ها ناشناخته باقی بماند. در صنعت رمزارز پروژهها به دلیل شفافیت بالا، اتفاقات امنیتی را فورا گزارش میکنند.
علاوه بر این، هیچ گزینهای در وبسایت میرور وجود نداشته که امکان بررسی کل مبلغ وثیقه در پروتکل را فراهم کند. این موضوع تشخیص این آسیبپذیری را به بررسی حجم زیادی از دادههای بلاکچینی وابسته کرده است.
در اوایل ماه جاری و تقریبا همزمان با سقوط استیبل کوین ترا، توسعهدهندگان میرور این آسیب امنیتی را بی سروصدا برطرف کردهاند. یک هفته بعد از مشاهده تغییرات، اعضای جامعه کاربران به تغییرات اعمال شده مشکوک شدند و همین باعث شد تا احتمال وقوع سوء استفاده یا وجود آسیب امنیتی را در انجمن حاکمیتی میرور مورد بحث قرار دهند. هنوز مشخص نیست که توسعهدهندگان میرور از این آسیب امنیتی مطلع بودند یا خیر.
با این حال، این اولین بار نیست که یک هک برای مدتی نامعلوم باقی میماند. هک ۶۰۰ میلیون دلاری تیم رونین Ronin هم یک هفته ناشناخته باقی ماند تا اینکه کاربران متوجه شدند نمیتوانند وجه خود را بردارند و همین باعث اطلاع از این هک شد.
