O “Protocolo do Espelho” foi invadido a 8 de Outubro de 2021 por 90 milhões de dólares (cerca de 85 milhões de euros) e no início de Maio, mais de sete meses após o evento, o roubo de um milhão de dólares só veio a lume. O utilizador do Twitter FatManTerra diz ter descoberto o hack por mero acaso.
O lago como um cesto
Os hackers conseguiram extrair milhões do Protocolo Mirror por causa de um erro no contrato inteligente. Este erro torna possível retirar dinheiro do contrato “uma e outra vez, sem risco”. O contrato funcionou como um cofre para garantia digital no “Protocolo Mirror”. Este cofre digital provou agora ser tão vazante como uma peneira durante meses, com todas as suas consequências.
🧵👇 What if I told you that Mirror Protocol, up until 18 days ago, was susceptible to the one of the most profitable exploits of all time, allowing an attacker to generate $4.3m from $10k in a single transaction? Here's how I discovered this – by pure serendipity. 🧵👇
— FatMan (@FatManTerra) May 27, 2022
Contratos sobre o protocolo Terra
Os contratos do Protocolo de Espelho em questão funcionavam na cadeia de bloqueio da Terra. Um nome que sem dúvida viu passar nas últimas semanas devido ao enorme drama que aí teve lugar. Depois de o UST-stablecoin do Terra ter perdido a sua ligação ao dólar americano, a ficha LUNA também desceu e milhares de milhões em activos subiram em fumo digital.
De assets van het Mirror Protocol waren overigens niet alleen beschikbaar via de Terra blockchain. Podem também ser negociados no Ethereum e na Binance Smart Chain. Um olhar sobre a cadeia de bloqueio de Terra mostra que o atacante conseguiu, de facto, retirar fundos securizados UST do protocolo com a mesma transacção. No total, ele ou ela pousou $17,54 (16,66 euros) para retirar todos os fundos dos cofres.
O que é o Protocolo Mirror?
Para além do facto de os contratos inteligentes do Protocolo Mirror aparentemente não terem sido bem sucedidos, há coisas interessantes possíveis na plataforma. O Mirror Protocol é uma aplicação descentralizada que torna possível a criação de activos sintéticos digitais. Isso parece muito excitante, mas um activo sintético não é mais do que um símbolo que representa o preço dos produtos financeiros do “mundo real”. Por exemplo, é possível criar acções no Tesla e Google utilizando apenas moedas criptográficas como activos subjacentes.
Os bugs descobertos pela comunidade Mirror foram, desde então, discretamente resolvidos pelos criadores do protocolo. A equipa não comentou a situação, o que, compreensivelmente, está a suscitar críticas por parte da comunidade. FatManTerra pensa que não há razão para suspeitar que o hacker tenha sido alguém da própria organização.
Não é o único
O Mirror Protocol não é a primeira parte a descobrir que os fundos só desapareceram algum tempo depois de um hack. No passado, a equipa Ronin demorou seis dias a perceber que tinha perdido 600 milhões de dólares (570 milhões de euros). Mas ainda existe uma diferença considerável entre seis dias e sete meses. A este respeito, o mundo DeFi ainda tem claramente algum caminho a percorrer. Numa indústria madura, afinal de contas, não há lugar para este tipo de loucura. Certamente que não se quisermos que o mundo inteiro utilize este tipo de protocolos.