Titres Titres
@FatManTerra est de retour avec de nouvelles allégations sur le protocole Mirror des actifs synthétiques de Terra. Plus précisément, un exploit lié au contrat de verrouillage de Mirror.
Depuis que le fiasco Terra a explosé plus tôt en mai, @FatManTerra a levé le voile sur le fonctionnement interne de l’écosystème Terra. Les révélations brossent un tableau des événements suspects.
Les dernières allégations suggèrent en outre que les utilisateurs de Terra sont à l’origine de l’accord depuis bien plus longtemps qu’on ne le pensait auparavant.
Mirror Protocol sous les projecteurs
Les détails partagés via les médias sociaux le 26 mai alléguaient que le protocole miroir pourrait ne pas être aussi décentralisé qu’il le prétend
@FatManTerra a tweeté les détails d’une enquête sur les portefeuilles de baleines de Mirror, qu’il soupçonne d’essayer activement de dissimuler leur influence en diffusant des jetons MIR sur les portefeuilles de brûleurs.
« J’ai trouvé des preuves que ce portefeuille et les portefeuilles associés s’efforcent de donner l’impression que la gouvernance du MIR n’est pas contrôlée à la majorité par une seule entité – ils le font en divisant le MIR entre plusieurs nouveaux portefeuilles anonymes. »
L’un de ces portefeuilles est lié au PDG de Terraform Labs, Do Kwon, via une organisation autonome décentralisée (DAO), sur laquelle il est conseiller.
En reliant tout cela ensemble, @FatManTerra suggère que cela pourrait indiquer que des personnalités de la hiérarchie de Terra manipulent la gouvernance et en profitent en conséquence.
Nouvelles allégations
@FatManTerra a également tweeté les détails d’un exploit sur le protocole miroir qui a été branché il y a environ 18 jours, ce qui a coïncidé avec le moment où UST a perdu sa cheville.
🧵👇 Et si je vous disais que Mirror Protocol, jusqu’à il y a 18 jours, était susceptible d’être l’un des exploits les plus rentables de tous les temps, permettant à un attaquant de générer 4,3 millions de dollars à partir de 10 000 dollars en une seule transaction ? Voici comment j’ai découvert cela – par pur hasard. 🧵👇
– FatMan (@FatManTerra) 27 mai 2022
Le bug en question concerne le contrat de verrouillage Mirror. Dans des circonstances normales, les utilisateurs verrouillent leur garantie et, après une période de détention de 14 jours, ils peuvent utiliser une fonction de déverrouillage pour libérer la garantie.
Jusqu’à l’implosion de l’UST, les code qui régissait la fonction de déverrouillage n’avait pas de vérification des doublons. Cela signifie qu’un attaquant pourrait libérer des fonds à plusieurs reprises après la période de blocage de 14 jours.
Quoi de plus, @FatManTerra a allégué que Mirror Protocol avait corrigé le bogue sans informer la communauté Mirror qu’il existait même.
Donc – ce bogue existe et a été discrètement corrigé – mais nous ne savons pas si quelqu’un l’a déjà remarqué ou exploité auparavant. Ce serait difficile à vérifier car vous auriez besoin de passer au crible des mois de données en chaîne et des millions de transactions – le forum Mirror ne s’en est pas soucié. (5/12)
– FatMan (@FatManTerra) 27 mai 2022
Des enquêtes plus approfondies montrent que les attaquants ont exploité le bogue des centaines de fois depuis octobre 2021.
Deux cafés plus tard, alors que j’étais sur le point d’abandonner, j’ai trouvé ça. Attendez… Qu’est-ce qui se passe ici ? Une seule transaction à partir d’octobre 2021 débloquant une position encore et encore – et elle s’est effectivement exécutée. Voici la transaction : https://t.co/2pbiwqKWNT (9/12) pic.twitter.com/lklZHIYQqV
– FatMan (@FatManTerra) 27 mai 2022
Soupçons ont encore été déclenchés lorsque l’un des portefeuilles impliqués a chronométré un vidage UST juste avant la suspension du mécanisme d’ancrage Terra.
Un enquêteur de la communauté sous le nom d’utilisateur PF92 a déclaré qu’au moins 88 millions d’UST avaient été volés grâce à cette vulnérabilité.
@FatManTerra a mis fin au tweetstorm en disant qu’il ne sait pas qui est responsable mais qu’il continuera à enquêter.
Et c’est ainsi qu’avec un peu de chance et beaucoup de recherches, j’ai découvert l’un des exploits de contrats intelligents les plus grands mais les plus simples de l’histoire de la blockchain qui est passé sous le radar pendant près d’un an. Qui a fait cela? Je n’en ai aucune idée, mais je vais essayer de me renseigner. (12/12)
– FatMan (@FatManTerra) 27 mai 2022
