LUNC:Terra分叉帶來黑客「新套利」，Mirror Protocol損失200萬美元事件分析-ODAILY

北京時間2022年5月30日21::46:19,，CertiK審計團隊監測到一起針對MirrorProtocol的攻擊。截至撰稿時，總損失約為200萬美元。

此次攻擊的主要原因在于Terra驗證節點在分叉后沒有更新，導致價格預言機不準確——報告了LUNA，而非實際的LUNC。

這使得用戶通過抵押LUNC借貸到的資產遠大于提供抵押的金額。

漏洞交易

https://finder.terra.money/classic/tx/F830681D8FEACC4DA67E84D40C49F0FF805609F2BB5CCC39A0EFE66257F2D791

X (Twitter) 獲得佐治亞州支付服務匯款許可證:金色財經報道，Watcher.Guru發推稱，X (Twitter) 獲得佐治亞州支付服務匯款許可證。[2023/8/13 16:22:40]

參考：https://forum.mirror.finance/t/another-exploit/3511

攻擊步驟

該次攻擊中有多筆用戶存入LUNC并借貸其他資產的交易。

某次交易示例如下：

由于Terra驗證節點沒有及時更新價格預言機，該筆交易允許攻擊者抵押10萬枚LUNC貸款30,275枚DOT。

Worldcoin聯合創始人Max Novendstern已離職:8月25日消息，Worldcoin 聯合創始人兼首席執行官 Max Novendstern 已離職，并創辦初創公司 Mana，旨在建立鏈上自主運行的 AI 風險投資協議。據知情人透露，Mana 正與 Tribe Capital、Multicoin Capital、Dragonfly 和 Variant 洽談融資事宜。

注，Worldcoin 旨在建立一個鏈接全球的加密貨幣網絡，曾于 2021 年 6 月完成了 a16z 參投的 2500 萬美元融資。（Techcurch）[2022/8/25 12:47:18]

漏洞分析

在Terra分叉之后，現在的Terra已分為：

TokenBetter主流幣行情：BTC24小時跌0.57%:TokenBetter官方行情數據，截至6月19日9：35，BTC24小時跌0.57%，現報9333.8USDT；ETH24小時跌0.98%，報229.39USDT；EOS24小時跌1.15%，報2.524USDT；BCH24小時跌1.6%，報234USDT；BSV24小時跌0.72%，報171.1USDT；LTC24小時跌0.83%，報43.66USDT；XRP24小時跌0.36%，報0.18891USDT；ETC24小時漲0.22%，報6.19USDT。

本周五，美股三大指數收漲。DJIA24小時跌0.15%，報26080.1點；NDX24小時漲0.33%，報9943.05點；SPX24小時漲0.06%，報3115.34點。[2020/6/19]

①TerraClassic，LUNA價值0.0001美元。

Pantera Capital創始人：比特幣將在危機中走向成熟:Pantera Capital創始人兼首席執行官Dan Morehead預測，比特幣將在2020年金融危機期間“走向成熟”，并可能在12個月內創下歷史新高。他對經濟做出了嚴峻的預測，并表示他相信全球經濟即將進入有史以來的首次負增長時期。Dan Morehead談到美國經濟時說：“我現在認為衰退可能比任何戰后衰退都大。” 指出，在當前和其他市場低迷時期，比特幣一直與股票市場相關。然而，他表示，在股市價格下跌一兩個月后，加密貨幣的相關性往往會降低。他將比特幣比作債券，后者在市場動蕩時往往會大放異彩，并預測比特幣將分階段復蘇，然后達到歷史新高。（Cointelegraph）[2020/3/27]

②Terra2.0，其LUNA價格約為5美元。

Mirrorprotocol運行于舊的Terra鏈上，并使用TerraClassic提供的價格預言機服務來確定LUNA價格。

然而，一些驗證者在TerraClassic分叉后并沒有更新他們的軟件，并且報告的是分叉后的LUNA價格而非LUNC的價格。

例如在下方這筆交易中，TerraClassic的驗證節點報告的LUNC價格約為5美元，而不是0.0001美元。

在正常情況下，假如一個用戶想在Mirrorprotocol上進行貸款，他需要提供更多的抵押品以進行借貸，比如提供2萬美元的抵押來借貸1萬美元。

也就是需要提供整整2億枚價值0.0001美元的LUNC代幣來進行抵押，但如果是使用價值5美元的LUNA，則只需要提供4000枚。

然而，由于一些驗證器已經過時，導致預言機提供了LUNA的價格而非LUNC的價格，攻擊者僅需提供4000枚LUNC即可借貸到1萬美元。

目前，如Orion.money的部分驗證者已修復該漏洞：

Orion.money昨日提供的LUNA價格

Orion.money今日提供的LUNC價格

資產去向

據FatManTerra證明，Mirrorprotocol的損失已達200萬美元。

因價格預言機導致的攻擊事件絕非一例，預言機不應成為鏈上「套利」專用工具。

加密領域安全風險層出不窮，項目團隊應盡可能提高相關警惕并時刻關注安全事件以自查，并及時完善和審計合約代碼。

參考鏈接：

https://twitter.com/FatManTerra/status/1531365988809293825

https://finder.terra.money/classic/tx/F830681D8FEACC4DA67E84D40C49F0FF805609F2BB5CCC39A0EFE66257F2D791

https://forum.mirror.finance/t/another-exploit/3511

https://twitter.com/ChainLinkGod/status/1531384782046711808

https://twitter.com/blockpane/status/1531369644531101696

https://cointelegraph.com/news/luna-classic-lunc-pricing-error-leads-to-mirror-protocol-exploit

Tags：TERLUNTerraLUNCInterfinexLUNI幣terra幣和luna幣luncLUNCH幣

火必交易所