Обе атаки обнаружил аналитик FatMan, доказавший сокрытие командой Mirror Protocol масштабов убытков первого взлома протокола.
Неизвестный злоумышленник обнаружил баг в механизме отслеживания залога. Платформа практиковала открытие коротких позиций по акциям под залог токенов UST, LUNA и mAssets, присваивая уникальный идентификатор для пользователя, замораживающего на 14 дней эти средства.
Баг позволял запрашивать вывод одних и тех же средств несколько раз. Хакер многократно использовал один и тот же идентификатор, украв $90 млн при вложениях в сотни раз меньше. Разработчики Mirror Protocol исправили уязвимость, но не ответили на прямой вопрос FatMan про ее использование.
На прошлой неделе настойчивость аналитика спасла средства других пользователей. Часть инвесторов потеряла инвестиции на крахе LUNA, падение котировок которых до практически нулевых значений, вывело из строя оракулов.
Не все валидаторы обновили ноды, транслирующие котировки служебного токена в пулы ликвидности Mirror Protocol. В результате хакеры получали за LUNA по 5 UST, приобретая по этой схеме акции и размещали их под залог других цифровых активов, опустошая пулы.
Ситуацию спасли длинные выходные на фондовом рынке США и растущее недовольство сообщества, которому FatMan разъяснил последствия бага оракула. В понедельник на Mirror Protocol были отключены механизмы залога активов mBTC, mETH, mGLXY и mDOT, обмениваемых по «неправильным курсам оракула.