Terra (LUNA): Hack de US$ 90 milhões em protocolo DeFi passou despercebido por meses
Em outubro de 2021, a aplicação de finanças descentralizadas (DeFi) Mirror Protocol sofreu um hack de US$ 90 milhões no antigo blockchain da rede Terra — e o roubo passou totalmente despercebido até semana passada.
Mirror Protocol permitia que usuários tivessem posições de compra ou venda em ações de tecnologia usando ativos sintéticos.
O protocolo foi desenvolvido na rede Terra, a qual implodiu no início deste mês, após a stablecoin TerraUSD (UST) ter perdido a paridade ao dólar, arrastando junto o token de governança da rede, LUNA.
No último final de semana, Terra foi ressuscitado em um novo blockchain, chamado Terra 2.0, enquanto o original foi renomeado Terra Classic.
O hack foi descoberto por um membro da comunidade de Terra e analista, chamado “FatMan”. Ele é, atualmente, uma das vozes mais presentes contra o lançamento de uma nova rede Terra.
A empresa de segurança em blockchain BlockSec corroborou as descobertas de FatMan, ao analisar especificamente a transação do hack. BlockSec confirmou que o roubo, de fato, aconteceu.
Como aconteceu o ataque?
Quando um usuário quisesse apostar contra uma ação em Mirror Protocol, ele tinha de bloquear determinado valor como garantia — incluindo os tokens de Terra (UST e LUNA Classic) e mAssets — por um período mínimo de 14 dias.
Após a negociação ser concluída, usuários poderiam desbloquear a garantia para liberar os fundos de volta à carteira. Todos esses processos eram feitos com a ajuda de números de identificação gerados por contratos autônomos (“smart contracts”, em inglês).
No entanto, devido a uma falha no código, o contrato de bloqueio do protocolo desenvolvido em Terra supostamente falhou em verificar quando um usuário usava a mesma identificação mais de uma vez para sacar fundos.
Em outubro de 2021, uma entidade desconhecida reparou ser possível usar uma lista de números de identificação duplicados para repetidamente desbloquear centenas de vezes mais garantia do que tinha. Isso significa que o hacker conseguia retirar fundos sem qualquer autorização.
A entidade removeu cerca de US$ 90 milhões no total, segundo dados do blockchain.
Passando despercebido por meses
O hack ao protocolo desenvolvido em Terra pode ser um dos acontecimentos mais raros, em que, apesar da presença de dados em blockchain, o roubo de uma grande quantidade de dinheiro passou despercebido por muito tempo. Geralmente, projetos são rápidos em reportar eventos ligados à segurança, em nome da transparência.
BlockSec disse que o hack provavelmente passou despercebido, porque poucas pessoas estavam em busca de problemas no blockchain Terra, em comparação com procura por falhas na Ethereum e em outras redes compatíveis com a Ethereum.
Além disso, não havia qualquer interface no site de Mirror Protocol que tornasse possível verificar a quantidade de garantia no protocolo. Isso tornou ainda mais difícil de perceber a vulnerabilidade sem filtrar uma grande quantidade de dados em blockchain.
No início deste mês, desenvolvedores de Mirror silenciosamente consertaram a vulnerabilidade, por volta da mesma época em que a stablecoin UST começou a colapsar.
Uma semana após o conserto, membros da comunidade começaram a se perguntar se um hack poderia ter acontecido, segundo uma discussão no fórum de governança. Ainda não está claro se os desenvolvedores do protocolo desenvolvido em Terra sabiam sobre o hack.
Mirror Protocol, que é alvo de uma investigação da Comissão de Valores Mobiliários e de Câmbio dos Estados Unidos (SEC, a CVM americana), ainda não fez nenhum comentário oficial sobre o assunto.
A equipe de Mirror e Terraform Labs, empresa por trás de Terra, não responderam a pedidos por comentários do The Block.
Entre para o nosso Telegram!
Faça parte do grupo do Crypto Times no Telegram. Você acessa as notícias do mundo cripto em tempo real e ainda pode participar das discussões da comunidade. Entre agora para o grupo do Crypto Times no Telegram!
Disclaimer
O Money Times publica matérias informativas, de caráter jornalístico. Essa publicação não constitui uma recomendação de investimento.