Foto: A. Solano/Shutterstock
Het Terra (LUNA) ecosysteem was begin vorige maand ingestort. Inmiddels is versie twee operationeel, inclusief nieuwe LUNA-tokens die ge-airdropt zijn. Echter werd onlangs ontdekt dat een hacker maar liefst $90 miljoen aan cryptocurrency wist te stelen via Terra, nog ruim voordat het ecosysteem in elkaar was geklapt. De diefstal was zelfs zeven maanden onopgemerkt gebleven.
Crypto geldboom
‘FatMan,’ een bekende Terra onderzoeker, ontdekte onlangs de diefstal en rapporteerde het op Twitter. De hack vond eigenlijk al in oktober plaats, maar werd blijkbaar pas op 27 mei ontdekt. De aanvaller was door een softwarefout in staat om $4,3 miljoen te verdienen met een transactie van slechts 10.000 dollar.
De hack verliep als volgt: Via Mirror Protocol, een decentralized finance (DeFi) project op Terra, kon de hacker met een mirror lock contract onderpand voor veertien dagen vastzetten, bedoeld voor een lening. Wat echter miste, was een check of er geen dubbel contract was, waardoor de hacker het onderpand meer dan één keer kon opnemen na de veertien dagen met vrijwel nul risico en tegen hele lage kosten. Vrij letterlijk een geldboom dus.
Two coffees later, as I was about to give up, I found this. Hold on… What’s going on here? A single transaction from October 2021 unlocking one position over and over again – and it actually executed. Here’s the transaction: https://t.co/2pbiwqKWNT (9/12) pic.twitter.com/lklZHIYQqV
— FatMan (@FatManTerra) May 27, 2022
“In één transactie veranderde de aanvaller $10.000 in $4.300.000. Dit werd zelfs meerdere keren gedaan, wat in totaal meer dan $30 miljoen opleverde. Dit alles ging volledig onopgemerkt door TFL en het Mirror team & community. Dit is de eerste keer dat deze aanval is onthuld.”
Goed verborgen probleem
De aanval is inmiddels ook bevestigd door blockchain-onderzoeksbedrijf BlockSec. De onderzoekers tonen een transactie op de oude Terra-blockchain, waarvan de details een eindeloze lijst met USTC (wat oorspronkelijk UST was) dat vrijkomt uit het smart contract.
Het is een vrij basale bug waar veel andere blockchains niet kwetsbaar voor zullen zijn. Vermoedelijk zijn die uitgebreid gecontroleerd op dit soort problemen. Volgens BlockSec was het probleem de community ontglipt, omdat de meeste aandacht gericht is op het oplossen van kwetsbaarheden rondom Ethereum en ETH-compatibele blockchains.
TerraForm Labs betrokken?
Afgaande op een patch op GitHub is de kwetsbaarheid inmiddels verholpen. Het is standaard dat ontwikkelaars het openbaar aankondigen als ze een probleem hebben opgelost. Dat rest ons de vraag hoe veel andere crypto-bugs er zijn opgelost zonder de wereld daarover in te lichten. Misschien zijn meer mensen dus onderdeel geweest van een scam zonder dat te weten.
Er zijn ook aanwijzingen dat TerraForm Labs erbij betrokken was, de aanval was ‘te perfect’ volgens FatMan. Toch is dat nog niet met zekerheid te zeggen.