Defi hack van $ 90 miljoen bleef zeven maanden onopgemerkt

Defi hack van $ 90 miljoen bleef zeven maanden onopgemerkt

By Sanne Moonemans - Kort bericht

Het Mirror Protocol werd op 8 oktober 2021 gehackt voor 90 miljoen dollar (zo’n 71 miljoen pond) en begin mei, ruim zeven maanden later, kwam de miljoenenroof pas aan het licht. Twitteraar FatManTerra geeft aan dat hij de hack per ongeluk heeft ontdekt.

Zo lek als een zeef

De hackers wisten miljoenen uit het Mirror Protocol te halen vanwege een fout in het smart contract. Die fout maakt het mogelijk om “steeds opnieuw, zonder risico” geld uit het contract te halen. Het contract fungeerde als een kluis voor digitaal onderpand in het Mirror Protocol. Die digitale kluis blijkt dus al maanden lang zo lek als een mandje te zijn, met alle gevolgen van dien.

Contracten op het Terra protocol

De betreffende Mirror Protocol contracten stonden op de Terra blockchain. Een naam die je de afgelopen weken ongetwijfeld voorbij hebt zien komen, vanwege het enorme drama dat zich daar afspeelde. Nadat Terra’s UST stablecoin zijn koppeling aan de Amerikaanse dollar verloor, ging ook deLUNA token ten onder, waarbij miljarden dollars aan activa in digitale rook opgingen.

Overigens waren de assets van het Mirror Protocol niet alleen beschikbaar via de Terra blockchain. Deze kun je ook verhandelen via Ethereum en de Binance Smart Chain. Een blik op de Terra blockchain leert ons dat de hacker er inderdaad in geslaagd is, om met dezelfde transactie vastgezette UST fondsen uit het protocol te halen. Al met al stortte hij/zij/hen $ 17,54 (€ 16,66) om al het geld uit de kluizen te halen.

Wat is het Mirror Protocol?

Afgezien van het feit dat de smart contracts van het Mirror Protocol blijkbaar niet helemaal op orde waren, zijn er interessante dingen mogelijk op het platform. Het Mirror Protocol is een gedecentraliseerde applicatie die het mogelijk maakt om digitale synthetische activa te creëren. Dat klinkt allemaal best ingewikkeld, maar een synthetische activa is niets meer dan een token die de prijs van financiële producten uit de ‘echte wereld’ vertegenwoordigt. Het is bijvoorbeeld mogelijk om aandelen van Tesla en Google te maken, met enkel en alleen cryptocurrencies als onderliggende activa.

De Mirror gemeenschap heeft een aantal bugs gevonden, die sinds hun ontdekking stilletjes zijn verholpen door de protocolontwikkelaars. Het team heeft geen commentaar gegeven op de situatie en heeft begrijpelijkerwijs kritiek gekregen van de gemeenschap. FatManTerra denkt dat er geen reden is om te vermoeden dat de hacker iemand van de organisatie zelf was.

Niet de enige

Het Mirror Protocol is niet de eerste partij die heeft ontdekt dat er geld is verdwenen, enige tijd nadat de hack heeft plaatsgevonden. In het verleden had het team van Ronin zes dagen nodig, om te beseffen dat ze $ 600 miljoen hadden verloren. Maar dat neemt niet weg dat er toch nog een behoorlijk verschil is tussen 6 dagen en 7 maanden. Wat dat betreft heeft de DeFi wereld duidelijk nog stappen te zetten. Dergelijke onzin hoort immers niet thuis in een volwassen industrie. Zeker niet als we willen dat de hele wereld dit soort protocollen gaat gebruiken.