O Mirror Protocol, um projeto de finanças descentralizadas (DeFi) baseado na blockchain Terra Classic – a “velha” e derretida Luna – perdeu mais de US$ 2 milhões em uma série de ataques que aconteceram entre domingo (29) e segunda-feira (30).
Os ataques silenciosos foram observados pela primeira vez pelo usuário “Mirroruser”, que divulgou uma série de endereços vinculados ao exploit no fórum do Mirror.
Conforme explicou no Twitter o usuário conhecido como FatMan, o que abriu a brecha para o ataque foi um bug no preço do token Luna Classic (LUNC) — como é chamado agora a versão antiga da Luna — informado pelo oráculo do Mirror Protocol.
Um oráculo em DeFi é usado para coleta dados do mundo real, nesse caso, o preço da Luna Classic. A falha nesse mecanismo fez com que a cotação do LUNC informado ao sistema do Mirror fosse muito maior do que o real.
Por exemplo, o oráculo informava ontem ao protocolo que LUNC valia 5 TerraUSD (UST), equivalente a US$ 0,10, quando na realidade o preço do ativo era de apenas uma fração de centavo, cerca de US$ 0.0001.
“O Mirror Protocol está sendo explorado novamente enquanto falamos, e os desenvolvedores estão completamente perdidos. Até agora, o atacante drenou mais de US$ 2 milhões e contando – o ataque vai piorar quando os mercados abrirem amanhã, a menos que a equipe de desenvolvimento intervenha e conserte o oráculo de preços”, escreveu o FatMan no fim da tarde passada.
O Mirror Protocol permite que os usuários assumam posições longas ou curtas em ações usando ativos sintéticos. Por exemplo, as ações da Galaxy Digital são representadas pelo token mGLXY no projeto.
O Mirror também possui versões sintéticas de criptomoedas, como mBTC, mETH e mDOT, que representam Bitcoin, Ethereum e Polkadot, respectivamente.
Correndo contra o tempo
Durante a exploração ,que se estendeu até a madrugada desta terça-feira (31), os pools de liquidez de pelo menos quatro ativos sintéticos (mBTC, mETH, mDOT e mGLXY) foram totalmente drenados, segundo o The Block.
A empresa de segurança BlockSec confirmou o ataque e detalhou em seu blog como ele aconteceu, mostrando inclusive como um único usuário foi capaz de explorar 437 vezes o protocolo para aumentar os lucros.
Os ataques só não foram maiores porque outros pools do protocolo não estavam disponíveis até que as negociações de pré-mercado fossem abertas às 5h da manhã (de Brasília) desta terça.
Se a equipe do Mirror Protocol não consertasse o problema antes desse horário, corria o risco de perder todos os seus fundos.
Conforme repercutiu em tempo real o usuário FatMan no Twitter, equipe do Mirror Protocol deixou para resolver o problema no último minuto e, 15 minutos antes da abertura do pré-mercado, ainda não havia confirmação se os fundos do projeto estariam a salvo.
“Crise evitada – em cima da hora, o Mirror desativou o uso de mBTC, mETH, mGLXY e mDOT como garantia. O atacante não pode mais usar seu ato ilícito para drenar o resto dos pools”, escreveu o usuário às 5h14.
Os culpados pela exploração
Parte do problema que levou ao oráculo do Mirror Protocol informar o preço incorreto da Luna Classic se deve as confusões que circulam o ecossistema Terra nos últimos dias.
Embora no sábado (28) a nova versão da blockchain Terra e do token Luna tenham sido lançadas, projetos DeFi continuam existindo — alguns aos trancos e barrancos — na rede antiga, como é o caso do Mirror Protocol.
Todd Garrison, fundador da empresa Block Pane que executa nós validadores em blockchains, escreveu no Twitter que o bug do Mirror foi causado porque a maioria dos validadores que executam nós na Terra Classic estão operando em uma versão desatualizada do oráculo de preços.
Dessa forma, os validadores do Terra Classic estavam relatando o preço de LUNA — versão nova — em vez de LUNC — versão antiga da moeda.
Depois dos alertas de ontem, os validadores atualizaram seus nodes e o preço do LUNC foi corrigido no oráculo do Mirror. “No entanto, o preço do UST ainda parece estar errado”, alertou Garrinson.
