Mirror (MIR) est cassé – 7 mois de malheur, nouvelle attaque et plus de 90M$ envolés

Les attaques de protocoles dans le secteur de la DeFi sont moins nombreuses en période de baisse généralisée. Car de toute évidence, même les exploiteurs de failles préfèrent intervenir lorsque la tendance est au beau fixe. Pourtant, quel meilleur terrain de jeu qu’un écosystème en train de s’effondrer sous les yeux d’une communauté en état de choc ? Une situation que vient de subir le célèbre protocole Mirror (MIR) du chaotique réseau Terra (versions LUNA et LUNC). Avec une perte estimée à 2 millions de dollars qui pourrait bien être plus importante. Mais rien de comparable à l’attaque passée inaperçue depuis octobre 2021 et ses 90 millions de dollars envolés…

Visiblement, les responsables d’attaques de protocoles de la DeFi ne sont pas adeptes de l’idée qu’on ne frappe pas un projet déjà à terre. Peut-être même que certains justifient leurs actes en se cachant derrière un pratique code is law, définitivement plus proche du « bug is opportunity. » Car ces derniers utilisent la plupart du temps des failles dans la programmation de ces applications afin de dérober au lieu de signaler. Avec des montants détournés dorénavant comptabilisés en millions de dollars, même en période de baisse généralisée sur le marché des cryptomonnaies.

Une situation qui vient de frapper de plein fouet le protocole Mirror (MIR) développé sur le réseau Terra Classic (LUNC). Ce dernier passé à sa version Terra2 avec l’intégration de la nouvelle cryptomonnaie LUNA en cours de distribution. Une transition difficile que vient compliquer une récente attaque intervenue il y a seulement quelques heures. Avec la perte estimée de 2 millions de dollars en actifs synthétiques au moment de la rédaction de cet article. Mais de toute évidence, cela n’est qu’un simple et ridicule apéritif.

Mirror – 2 millions de dollars envolés

La règle de cette actualité est simple, lorsqu’on pense avoir touché le fond il ne faut pas négliger la possibilité de pouvoir aller encore plus profond. Surtout lorsque ce sont les autres qui s’occupent de creuser un fossé déjà presque impossible à combler. Et quel meilleur exemple que le réseau Terra Classic (LUNC) devenu Terra2 (LUNA) afin de tenter une renaissance toujours plus théorique que pratique. Ce dernier ayant entraîné dans sa chute des protocoles phares comme le fournisseur d’actifs synthétiques Mirror. Une version lunaire de Synthetix (SNX) du réseau Ethereum, proposant le trading de produits dérivés en relation à des actions technologiques classiques. Mais il y a eu un bug dans la matrice.

En effet, à peine la cryptomonnaie LUNA lancée, une erreur est survenue dans la gestion des prix de son ancienne version LUNC. En cause : un mauvais affichage proposé par le logiciel oracle du leader Chainlink (LINK). Et comme résultat, un obsolète Luna Classic (LUNC) proposé à un prix erroné visiblement estimé en parité avec l’ex-stablecoin UST. C’est-à-dire un cours duquel ont été retirés deux petits zéros après la virgule. Une opportunité impossible à manquer pour le responsable de cette vidange en règle (et potentiellement encore en cours).

« Cela est en train de se produire actuellement. Le prix oracle du LUNC est probablement invalide. Les pools mBTC, mETH, mDOT ont été vidangés. Et toutes les autres le seront dès que de nouveaux prix oracle apparaîtront.« 

Mirroruser

Et les conséquences désastreuses ne se sont pas fait attendre. Car le 29 mai dernier (dimanche) une attaque profitant de cette confusion a été détectée par un membre de la communauté Mirror. Et les pertes actuelles (2 millions de dollars) pourraient bien être pires…

Attaque Mirror – Une mise à jour urgente

La porte d’entrée de cette attaque est donc un affichage erroné du prix de la cryptomonnaie LUNC. Tout cela du fait de ce que le compte Twitter ChainLinkGod présente comme une erreur de la part des validateurs du réseau Terra Classic. Ces derniers exécutants « une version obsolète du logiciel oracle » de Chainlink. Raison pour laquelle il indiquait au protocole Mirror un prix du LUNC estimé à 5 UST, soit environ 0,10$ au lieu de 0,0001$. C’est en tout cas ce que révèlent les recherches du compte Twitter Blockpane en date du 30 mai (hier). Le tout confirmé par l’ambassadeur officiel de la communauté Chainlink :

« Le protocole Mirror vient d’être à nouveau exploité en raison du fait que les validateurs Terra Classic ont signalé le prix de la nouvelle pièce Terra 2.0 LUNA (~9,80$) au lieu de la pièce originale Terra Classic LUNC (~0,0001$). Il s’agit d’un échec massif des opérations.« 

ChainLinkGod

Mais le problème reste visiblement entier. Et ce n’est pas le silence assourdissant du protocole Mirror dans cette affaire qui va permettre de calmer les esprits. Car selon toute vraisemblance, la seule raison de l’arrêt de cette vidange de ses pools est la fermeture des places boursières durant le week-end. Et de ce fait l’impossibilité de réaliser des opérations sur ces actifs synthétiques durant cette période. Mais surtout, la nécessité de trouver une solution à ce bug avant leur réouverture qui est intervenue tôt ce matin. Et aucune communication sur le sujet ne permet de savoir si cela a été fait à temps…

Mirror cassé – 7 mois de malheur et 90M$

Mais le véritable problème est peut-être ailleurs pour le protocole Mirror. Car en parallèle de cette attaque, une plus funeste découverte a récemment été découverte. Cela sous la forme d’une attaque vraisemblablement en cours depuis octobre 2021. Et, selon les estimations, la somme incroyable de 90 millions de dollars disparut dans la nature sur cette période de sept mois. Le tout grâce à une procédure de vérification défectueuse, permettant de retirer des fonds mis en garantie à plusieurs reprises. Et de ce fait, la possibilité d’utiliser le même identifiant à répétition pour retirer des cryptomonnaies sans aucune autorisation nécessaire, encore et encore…

Blockchain

Hack Ronin - 620M$ disparaissent de la sidechain d'Axie Infinity (AXS)

Hugh B. - 30 Mars 2022 - 13:00

La liste des attaques qui frappent le secteur des cryptomonnaies [...]

Lire la suite >>

Une situation mise à jour en fin de semaine dernière par un certain FatMan sur Twitter. Et depuis confirmée par plusieurs structures de sécurité dédiées à la blockchain. Avec une possible intervention des développeurs du protocole afin de résoudre le problème en toute opacité, quelques jours seulement avant l’effondrement du stablecoin UST. Et à ce sujet également, une absence totale de communication de la part du protocole Mirror ou de la structure Terraform du réseau Terra. Mais de toute évidence un nouveau coup dur pour cet écosystème encore en équilibre précaire. Et une affaire à suivre pour connaître (peut-être) le fin mot de ces histoires.