DeFi hack til $90 millioner forblev ubemærket i syv måneder

Mirror Protocol blev hacket den 8. oktober 2021 for $90 millioner (ca. 628 millioner kroner), og det var først i begyndelsen af maj – mere end syv måneder senere – at hacket til de mange millioner dollars blev opdaget. Twitter-brugeren FatManTerra antydede, at han opdagede hacket ved et rent tilfælde.

Så utæt som en si

Det lykkedes hackerne at stjæle millioner af dollars fra Mirror Protocol på grund af en fejl i dens smarte kontrakt. Denne fejl gjorde det muligt for hackerne at trække penge ud af kontrakten “igen og igen – og helt uden nogen som helst risiko”. Kontrakten fungerede som en slags pengeskab for digital sikkerhedsstillelse hos Mirror protokollen. Dette digitale pengeskab viste sig i månedsvis at være lige så utæt som en flettet kurv – med alle de negative konsekvenser, som dette medfører

Kontrakterne på Terra-protokollen

De pågældende Mirror Protocol-kontrakter kørte på Terra blockchainen. Et navn, som du utvivlsomt har lagt mærke til i løbet af de seneste par uger på grund af det enorme drama, der netop fandt sted på denne blockchain. Efter Terras UST stablecoin mistede sin binding til den amerikanske dollar, så kollapsede LUNA-tokenet også, og aktiver til en værdi af milliarder af dollars gik op i digitalt røg.

Aktiverne hos Mirror Protocol var i øvrigt ikke kun tilgængelige via Terra blockchainen. Du kan også handle disse aktiver via Ethereum og Binance Smart Chain. Et kig på Terra blockchainen fortæller os, at angriberen faktisk formåede at stjæle fastlåste UST-midler fra protokollen ved hjælp af den samme transaktion. Alt i alt indsatte hackeren blot $17,54 (122,57 kroner), hvorefter han eller hun var i stand til at stjæle samtlige midler fra platformens pengeskabe.

Hvad er Mirror Protocol?

Hvis man ser bort fra det faktum, at de smarte kontrakter i Mirror Protocol tilsyneladende ikke var helt i orden, så kan man dog stadig gøre en hel del interessante ting på platformen. Mirror Protocol er en decentral applikation, der gør det muligt at skabe digitale syntetiske aktiver. Dette lyder meget spændende, men et syntetisk aktiv er dog ikke andet end et token, der repræsenterer prisen på finansielle produkter i den “virkelige verden”. Det er for eksempel muligt at skabe aktier i Tesla og Google ved blot at anvende kryptovalutaer som underliggende aktiver.

Mirror-fællesskabet opdagede en række fejl, som siden deres opdagelse stille og roligt er blevet rettet af protokol-udviklerne. Teamet har endnu ikke kommenteret på situationen, og er indtil videre forståeligt nok blevet kritiseret af fællesskabet. FatManTerra mener, at der ikke er nogen grund til at tro, at hackeren var en person fra selve organisationen.

Ikke den eneste

Mirror Protocol er dog ikke den første platform til at opdage, at midler er forsvundet en længere periode efter et hack. F.eks. tog det Ronins team seks dage at indse, at de var blevet røvet for $600 millioner. Dette ændrer dog ikke på det faktum, at der trods alt er en stor forskel mellem 6 dage og 7 måneder. Set i dette lys, så har DeFi-universet tydeligvis stadig rigeligt at rette op på. Sådanne fejltagelser hører jo trods alt ikke hjemme i en moden branche. Og slet ikke, hvis man ønsker at verden skal tage denne slags protokoller til sig i fremtiden.