Le Mirror Protocol a été piraté le 8 octobre 2021 pour un montant de 90 millions de dollars (environ 85 millions d’euros) et ce n’est que début mai, plus de sept mois après l’événement, que le casse d’un million de dollars a été révélé. L’utilisateur de Twitter FatManTerra dit avoir découvert le piratage par pur hasard.
Un lac comme un panier
Les pirates ont réussi à extraire des millions du Mirror Protocol à cause d’une erreur dans le contrat intelligent. Cette erreur permet de sortir de l’argent du contrat « encore et encore, sans risque ». Le contrat fonctionnait comme une chambre forte pour les garanties numériques du Mirror Protocol. Depuis des mois, ce coffre-fort numérique s’est révélé aussi étanche qu’une passoire, avec toutes les conséquences que cela implique.
🧵👇 What if I told you that Mirror Protocol, up until 18 days ago, was susceptible to the one of the most profitable exploits of all time, allowing an attacker to generate $4.3m from $10k in a single transaction? Here's how I discovered this – by pure serendipity. 🧵👇
— FatMan (@FatManTerra) May 27, 2022
Contrats sur le protocole Terra
Les contrats du Mirror Protocol en question fonctionnaient sur la blockchain Terra. Un nom que vous avez sans doute vu passer ces dernières semaines en raison de l’énorme drame qui s’y est déroulé. Après que l’UST-stablecoin de Terra a perdu son lien avec le dollar américain, le jeton LUNA s’est également effondré et des milliards d’actifs sont partis en fumée numérique.
Les actifs du Mirror Protocol ont été mis en circulation via la blockchain de Terra, mais pas seulement. Ils peuvent également être échangés sur Ethereum et sur la Smart Chain de Binance. Un coup d’œil à la blockchain Terra montre que l’attaquant a effectivement réussi à retirer les fonds UST sécurisés du protocole avec la même transaction. En tout et pour tout, il a déboursé 17,54 dollars (16,66 euros) pour sortir tous les fonds des coffres.
Qu’est-ce que le Mirror Protocol?
Outre le fait que les contrats intelligents de Mirror Protocol n’étaient apparemment pas tout à fait corrects, des choses intéressantes sont possibles sur la plateforme. Mirror Protocol est une application décentralisée qui permet de créer des actifs synthétiques numériques. Cela semble très excitant, mais un actif synthétique n’est rien d’autre qu’un jeton qui représente le prix des produits financiers du « monde réel ». Par exemple, il est possible de créer des actions de Tesla et de Google en utilisant uniquement des crypto-monnaies comme actifs sous-jacents.
Les bugs découverts par la communauté Mirror ont depuis été discrètement résolus par les développeurs du protocole. L’équipe n’a pas commenté la situation, qui suscite naturellement des critiques de la part de la communauté. FatManTerra pense qu’il n’y a aucune raison de soupçonner que le pirate était quelqu’un de l’organisation elle-même.
Pas le seul
Mirror Protocol n’est pas le premier parti à découvrir que des fonds ont disparu quelque temps seulement après un piratage. Dans le passé, il a fallu six jours à l’équipe de Ronin pour se rendre compte qu’elle avait perdu 600 millions de dollars (570 millions d’euros). Mais il y a encore une différence considérable entre six jours et sept mois. À cet égard, il est clair que le monde du DeFi a encore du chemin à parcourir. Dans une industrie mature, après tout, il n’y a pas de place pour ce genre de folie. Et certainement pas si nous voulons que le monde entier utilise ce type de protocoles.