Das Mirror Protocol wurde am 8. Oktober 2021 für 90 Mio. $ (ca. 71 Mio. £) gehackt, und erst Anfang Mai, mehr als 7 Monate später, kam der millionenschwere Raub ans Licht. Der Twitterer, FatManTerra, gibt an, dass er den Hack rein zufällig entdeckt hat.
Undicht wie ein Sieb
Aufgrund eines Fehlers im Smart Contract gelang es den Hackern, Millionen aus dem Mirror Protocol abzuziehen. Dieser Fehler ermögliche es, „immer wieder risikolos“ Geld aus dem Contract abzuziehen. Der Contract fungierte als Tresor für digitale Sicherheiten im Mirror Protocol. Dieser digitale Tresor hat sich nun seit Monaten als undicht wie ein Korb erwiesen, mit allen Konsequenzen, die das mit sich bringt.
Contracts über das Terra Protocol
Die fraglichen Mirror Protocol-Contracts liefen auf der Terra-Blockchain. Ein Name, den Sie in den letzten Wochen aufgrund des enormen Dramas, das sich dort abspielte, zweifellos gehört haben. Nachdem der UST-Stablecoin von Terra seine Bindung an den US-Dollar verlor, ging auch der LUNA-Token unter und Assets im Wert von Milliarden von Dollar lösten sich in digitalem Rauch auf.
Die Assets des Mirror Protocol waren übrigens nicht nur über die Terra-Blockchain verfügbar. Sie können diese auch über Ethereum und die Binance Smart Chain handeln. Ein Blick auf die Terra-Blockchain zeigt uns, dass es dem Angreifer tatsächlich gelungen ist, mit derselben Transaktion eingezahlte UST-Gelder aus dem Protokoll zu ziehen. Alles in allem hat er oder sie 17,54 $ (16,66 €) eingezahlt, um alle Gelder aus den Tresoren zu entfernen.
Was ist das Mirror Protocol?
Abgesehen davon, dass die Smart Contracts des Mirror Protocols offenbar nicht ganz in Ordnung waren, sind auf der Plattform interessante Dinge möglich. Das Mirror Protocol ist eine dezentrale Anwendung, die es ermöglicht, digitale synthetische Assets zu erstellen. Das klingt sehr spannend, aber ein synthetisches Asset ist nichts anderes als ein Token, das den Preis von Finanzprodukten der „realen Welt“ darstellt. Es ist zum Beispiel möglich, Aktien von Tesla und Google mit reinen Kryptowährungen als Basiswert zu erwerben.
Die Mirror-Community hat eine Reihe von Fehlern gefunden, die seit ihrer Entdeckung von den Protokollentwicklern in aller Stille behoben wurden. Das Team hat sich nicht zu der Situation geäußert und wurde verständlicherweise von der Community kritisiert. FatManTerra ist der Meinung, dass es keinen Grund gibt, zu vermuten, dass der Hacker jemand aus der Organisation selbst war.
Nicht das Einzige
Das Mirror Protocol ist nicht die erste Partei, die entdeckt, dass einige Zeit nach einem Hack Gelder verschwunden sind. In der Vergangenheit brauchte das Team von Ronin 6 Tage, um festzustellen, dass sie 600 Mio. $ verloren hatten. Das ändert aber nichts an der Tatsache, dass zwischen 6 Tagen und 7 Monaten immer noch ein erheblicher Unterschied besteht. In dieser Hinsicht hat die DeFi-Welt eindeutig noch einiges zu tun. Schließlich gehört solcher Unsinn nicht in eine reife Branche. Schon gar nicht, wenn wir wollen, dass die ganze Welt diese Art von Protokollen annimmt.