Terra生態協議Mirror再遭攻擊，多個資金池已耗盡，審計機構證實九千萬美元漏洞屬實

社群成員在合成資產協議 Mirror Protocol 論壇上指出，協議因預言機漏洞已損失 200 萬美元，過去連日針對 Terra 爆料的匿名推特用戶 FatMan 也表示，若不盡快處理將導致無法彌補的鉅額壞帳。

Mirror Protocol 自五月初修復漏洞以來，就未曾在推特進行任何更新，Mirror 協議允許用戶以數位資產作為擔保品，生成、交易錨定的股票、債券、外匯等資產價格的代幣。

Mirror 遭遇另一次攻擊

社群成員 Mirroruser 在 Mirror 論壇上發佈此漏洞。

簡言之，Terra Classic 鏈上多數節點仍運行過時版本的預言機，當 LUNC 價格僅約 0.0001 美元時，預言機錯誤地以 Terra 2.0 LUNA 的價格 (9 美元) 餵價給 Mirror 協議。

也就是預言機將攻擊者的 LUNC 價值放大了數萬倍，因此攻擊者能以此在協議中透過借貸機制套利，不斷兌換出價值不匹配的實質資產。

目前 Mirror 已損失超過 200 萬美元，匿名推特用戶 FatMan 指出目前以下資金池已被耗盡：

• mBTC
• mETH
• mDOT
• mGLXY

且美股因陣亡將士紀念日休市，若未能在盤前交易開始前 (台灣時間 16:00) 修正，攻擊者可能將進一步耗盡剩餘資金池。

預言機專案 ChainLink 社群大使 ChainLinkGod 也表示，Mirror 案例說明為何預言機應是動態，而非靜態、無法更動的，並提到上週末 Anchor Protocol 也遇到了類似漏洞問題。

去年漏洞損失九千萬美元

FatMan 在 5/27 也披露 Mirror 默默修復了一個去年至今的漏洞，漏洞已導致協議損失 9,000 萬美元，且持續了 7 個月才被團隊發現，區塊鏈審計機構 BlockSec 也證實了 FatMan 的說法。

當用戶要在 Mirror 上做多或做空股票時，必須鎖定 UST、LUNA Classic (LUNC) 和 mAssets 等資產 14 日，交易完成後用戶才能解鎖抵押品取回資金。

然而由於合約漏洞，攻擊者能重複解鎖抵押品，在進行上百次攻擊後，鏈上數據顯示攻擊者得手約 9,000 萬美元。

而開發團隊在五月初時默默修復了漏洞，讓用戶開始更加懷疑此漏洞存在的真實性。截稿前 Terraform Labs (TFL)、創辦人 Do Kwon 皆忙於宣傳新上的 Terra 2.0 代幣，Mirror 推特也未有任何更新。

原文連結