Zum Inhalt springen

Terra (LUNA) 90 Millionen US-Dollar Hack erst nach sieben Monaten aufgefallen

Das auf der Terra-Blockchain laufende Mirror-Protokoll wurde um 90 Millionen US-Dollar erleichtert – bereits vor sieben Monaten. Bemerkt wurde der Vorfall erst jetzt, während erneut zwei Millionen US-Dollar aus dem Protokoll gezogen wurden.

Moritz Draht
 |  Lesezeit: 3 Minuten
Teilen
Terra-Logo auf einem Smartphone

Beitragsbild: Shutterstock

Problemkind Terra sorgt auch nach seinem Zusammensturz weiterhin für Ärger. Bereits im Oktober letzten Jahres kam es beim Mirror-Protokoll zu einem 90 Millionen US-Dollar schweren Exploit. Aufgefallen ist der kuriose Vorfall erst vor wenigen Tagen, kurz bevor es zu einem weiteren Angriff kam.

Echtzeitkurse von Aktien abbilden, diese als synthetische Assets – auch Stock-Token genannt – handelbar machen und damit den Aktienmarkt auf die Blockchain bringen: Die Kernfunktion des auf der Terra-Blockchain laufenden Mirror-Protokolls bietet viele Vorzüge, und scheinbar ebenso viele Schwachstellen. Einem bisher unbekannten Angreifer gelang es, das Protokoll vor rund sieben Monaten auszutricksen und um etwa 90 Millionen US-Dollar zu erleichtern. Der Vorfall wurde erst jetzt von dem anonymen Terra-Whistleblower FatMan in einer Tweet-Serie aufgedeckt.

Schwachstelle kostet 90 Millionen US-Dollar

Über das Mirror-Protokoll können Long- und Short-Positionen – also Wetten auf steigende oder sinkende Kurse – auf Tech-Aktien eingegangen werden. Dafür müssen User eine Sicherheit, den Collateral, hinterlegen und für zwei Wochen sperren. Nachdem der Handel durchgeführt ist, lassen sich die Gelder wieder entsperren. So weit, so gut.

Offenbar gab es aber einen Fehler im Code, wodurch dieselbe ID, um Gelder abzuheben, mehr als einmal genutzt werden konnte. Dadurch konnte der Angreifer die Sicherheiten anderer User entsperren und selbst darauf zugreifen. Summa summarum: über 90 Millionen US-Dollar.

“Der Lock-Contract überprüfte nicht, ob die Gelder vom Mint-Contract gesendet wurden, also eröffnete der Angreifer eine Position mit 10 US-Dollar in Sicherheiten und sendete 10.000 US-Dollar direkt an den Lock-Contract. Er konnte dann die Sicherheiten anderer immer wieder in einer Schleife aus dem Contract freischalten”, erklärt FatMan. Mehrmals habe der Angreifer dadurch “10.000 US-Dollar in 4.300.000 US-Dollar verwandelt”.

Weil’s so schön war: Mirror erneut geplündert

Selbes Protokoll, anderer Fehler. Am Sonntag wurde ein weiterer Angriff auf Mirror beobachtet. Das Problem diesmal: Scheinbar verwendete Mirror eine veraltete Oracle-Version. Dadurch bewertete Mirror den LUNC-Token mit etwa fünf US-Dollar, der eigentlich nur Centbruchteile wert ist.

“Für 1.000 US-Dollar in LUNC kann ein Angreifer nun 1,3 Millionen US-Dollar an Sicherheiten aufladen”, schrieb FatMan. “Anscheinend lag die Ursache darin, dass die Terra Classic-Validatoren mit einer veralteten Version der Oracle-Software arbeiteten”, erklärte ChainLinkGod.eth auf Twitter.

Durch den Fehler wurden die Pools mBTC, mETH, mDOT und mGLXY geplündert. Insgesamt soll sich der Schaden auf zwei Millionen US-Dollar belaufen. Inzwischen wurde der Fehler behoben und die Oracle-Version aktualisiert.

Vermehre deine Kryptowährungen mit Staking
Nutzer von eToro können ganz einfach von ihrem Kryptobestand profitieren. Mit dem eigenen Staking-Service können Nutzer auf einfache, sichere und problemlose Weise ihren Bestand an Kryptowerten vergrößern.
Zum Anbieter
Die neusten Ausgaben des BTC-ECHO Magazins
Ausgabe #61 Juli 2022
BTC-ECHO Magazin – Jahresabo
Ausgabe #60 Juni 2022
Ausgabe #59 Mai 2022
Du möchtest aktuelle News?

Melde dich bei unserem Newsletter an, um auf dem aktuellen Stand zu sein.