टेरा पर निर्मित डेफी ने $ 90 मिलियन का शोषण किया, सात महीने तक किसी का ध्यान नहीं गया

मिरर प्रोटोकॉल, पुराने टेरा ब्लॉकचैन पर बनाया गया एक डीएफआई एप्लिकेशन, अक्टूबर 90 में $ 2021 मिलियन के शोषण से हमला किया गया था, और यह पिछले सप्ताह तक पूरी तरह से अनदेखा रहा। हमलावर प्रोटोकॉल से संपार्श्विक को कई बार अनलॉक करने में सक्षम था, जबकि हर बार बस थोड़ा सा शुल्क चुकाता था।

सात महीने पहले टेरा के डेफी पर हमला हुआ था

टेरा डेफी का एक महंगा कारनामा पिछले सप्ताह तक सात महीनों तक रिपोर्ट नहीं किया गया था। टेरा ब्लॉकचेन पर निर्मित मिरर प्रोटोकॉल, उपयोगकर्ताओं को तकनीकी शेयरों में लंबी या छोटी स्थिति लेने के लिए सिंथेटिक संपत्तियों को नियोजित करने की अनुमति देता है।

हालाँकि, प्रोटोकॉल के संचालन तंत्र को $90 मिलियन के लिए हैक कर लिया गया था। टेरा चेन डेफी हमले की खोज सबसे पहले पिछले हफ्ते टेरा समुदाय के सदस्य और "फैटमैन" नामक विश्लेषक ने की थी और अब सुरक्षा विश्लेषक ब्लॉकसेक ने इसकी पुष्टि की है।

समुदाय के सदस्यों पर्दाफाश 17 मई को मिरर प्रोटोकॉल के कोड में एक कमजोरी, एक हैकर को 90 अक्टूबर, 8 से $2021 मिलियन तक की निकासी करने की अनुमति देती है।

फ़ैटमैन के अनुसार, कौन कहते हैं उन्होंने "शुद्ध आकस्मिकता" से हैक की खोज की, हमलावर ने प्रोटोकॉल से 89,706,164.03 डॉलर चुरा लिए, एक ऐसे कारनामे की बदौलत जिसने उन्हें "कम लागत और शून्य जोखिम पर बार-बार" लॉक अनुबंध से संपार्श्विक को अनलॉक करने की अनुमति दी।

टेरा क्लासिक ऑन-चेन आँकड़े प्रकट हमलावर हर बार केवल $17.54 के लिए एक ही लेनदेन के भीतर कई बार प्रोटोकॉल से यूएसटी फंड जारी करने में सक्षम था।

सटीक शोषण लेनदेन का अध्ययन करके, सुरक्षा फर्म ब्लॉकसेक की पुष्टि की समुदाय के सदस्य के निष्कर्ष.

ये कैसे हुआ

मिरर पर किसी स्टॉक पर दांव लगाने के लिए उपयोगकर्ताओं को कम से कम चौदह दिनों के लिए संपार्श्विक को लॉक करना होगा। मूल टेरा डिजिटल मुद्रा, LUNA, को इस संपार्श्विक (अब LUNA क्लासिक या LUNC) के साथ शामिल किया गया था। mAssets और अब बंद हो चुकी स्थिर मुद्रा UST भी शामिल थे।

उपयोगकर्ता संपार्श्विक को अनलॉक करने और व्यापार पूरा होने के बाद पैसे को अपने वॉलेट में वापस करने में सक्षम थे।

इसके अलावा, स्मार्ट कॉन्ट्रैक्ट-जनरेटेड आईडी नंबरों के उपयोग ने इस प्रक्रिया में सहायता की। हालाँकि, मिरर प्रोटोकॉल का लॉक अनुबंध बग की उपस्थिति के कारण यह जाँचने में असमर्थ था कि किसी उपयोगकर्ता ने पहले धन निकालने के लिए उसी आईडी का उपयोग किया था या नहीं।

संबंधित पढ़ना | थाईलैंड खुद को डिजिटल अर्थव्यवस्था के लिए तैयार करता है, 2023 के अंत तक वैट से क्रिप्टो ट्रांसफर को हटा देता है

हालाँकि, मिरर का लॉक अनुबंध स्पष्ट रूप से यह जांचने में विफल रहा कि कोड में गलती के कारण किसी ने एक ही आईडी का उपयोग कई बार धनराशि निकालने के लिए किया था।

अक्टूबर 2021 में, एक अज्ञात इकाई ने पाया कि डुप्लिकेट आईडी की एक सूची का उपयोग उनके पास मौजूद संपार्श्विक की तुलना में सैकड़ों गुना अधिक बार-बार अनलॉक करने के लिए किया जा सकता है। इसका अनिवार्य रूप से मतलब यह था कि अपराधी बिना अनुमति के धन निकाल सकता है।

एक नया हमला

खोज के कुछ ही दिनों बाद 30 मई को, डेफी प्रोटोकॉल को फिर से लक्षित किया गया।

के अनुसार रिपोर्ट, नवीनतम हैक कंपनी के मूल्य भविष्यवाणी की सेटिंग में एक दोष के कारण हुआ, जिसने हमलावर को पुराने LUNC और नए LUNA टोकन के बीच मूल्य असमानता का लाभ उठाने की अनुमति दी।

टेरा नोड्स अप्रचलित ओरेकल सॉफ़्टवेयर चला रहे थे, जिससे हमले की अनुमति मिली। हमले का पता लगाने वाले चैनलिंक समुदाय के सदस्य के अनुसार, हैकर ने प्रोटोकॉल से $2 मिलियन से अधिक की चोरी की।

टेरा/यूएसडी लगभग-शून्य दुर्घटना के बाद समेकित हुआ। स्रोत: TradingView

यह पहली बार नहीं है कि किसी हैक पर थोड़े समय के लिए ध्यान नहीं दिया गया हो। मार्च 2022 में, हैकर्स ने $600 मिलियन चुरा लिए रोनिन साइडचेन से, और किसी को भी इस पर ध्यान देने में एक सप्ताह लग गया। यह उपयोगकर्ताओं तक नहीं था की खोज वे अपना पैसा निकाल नहीं पाए थे कि किसी को एहसास हुआ कि कोई समस्या है।

मिरर प्रोटोकॉल, जो है जांच की जा रही है प्रतिभूति और विनिमय आयोग ने अभी तक स्थिति पर कोई आधिकारिक बयान नहीं दिया है।

मिरर प्रोटोकॉल टीम ने अभी तक इस शोषण के संबंध में कोई बयान जारी नहीं किया है, जिससे समुदाय में आक्रोश फैल गया है। दूसरी ओर, फ़ैटमैन का मानना ​​है कि इस बात के "सम्मोहक सबूत" हैं कि हैकर एक अंदरूनी सूत्र था।

हालाँकि यह इतिहास में पहला DeFi कारनामा नहीं है, यह ऐसा कारनामा है जिसे खोजने में सबसे अधिक समय लगा है। दबाव बढ़ने के कारण टेरा काफी जांच के दायरे में है।

संबंधित पढ़ना | नॉट सो ग्रेट वॉल: कैसे चीन बिटकॉइन माइनिंग पर प्रतिबंध लगाने में बुरी तरह विफल रहा

शटरस्टॉक से प्रदर्शित छवि और ट्रेडिंगव्यू.कॉम से चार्ट