?上周，一名 Terra 社區成員意外發現了某個被疏忽七個月的 DeFi 漏洞，并且得到了 BlockSec 安全分析師的證實。2021 年 10 月，DeFi 應用程序 Mirror Protocol 在舊 Terra 區塊鏈上遭受了 9000 萬美元的攻擊損失，但社區直到上周才意識到它的存在。據悉，Mirror Protocol 允許用戶使用合成資產，對科技股進行做多或做空。

Mirror Protocol 建立在 Terra 區塊鏈之上，然而在 TerraUSD（UST）穩定幣失去與美元的錨定之后，其姊妹代幣 Luna 在本月早些時候也被拖累到幾乎一文不值。

在經歷了混亂的幾周后，社區投票通過了硬分叉的 Terra 2.0 以消弭影響，而原始鏈則倍改名為 Terra Classic 。

本文提到的漏洞，由 Terra 社區成員兼分析師“FatMan”曝光。這對最新推出的 Terra 2.0 區塊鏈，他也是最直言不諱的反對者之一。

同時安全公司 BlockSec 通過分析特定的漏洞利用交易，證實了 FatMan 的這一發現。

可知每當有人想要在 Mirror 上做空時，其必須將包括UST、LUNA Classic（LUNC）和 mAssets 在內的抵押品鎖定至少 14 天。

交易結束后，用戶可解鎖抵押品、并將資產釋放回錢包，且所有相關操作都是在智能合約生成的 ID 號的幫助下完成的。

然而由于代碼上的 Bug，報道稱 Mirror 的鎖定合約、未能檢查何時有人多次使用同一個 ID 來提取資金。

于是 2021 年 10 月，某個不知名的實體發現了這一漏洞，并借此利用重復 ID 列表來反復解鎖數以百倍的抵押品 —— 基本上意味著肇事者能夠在沒有任何授權的情況下提取資金。

后續的區塊鏈記錄表明，該實體總共撬走了約 9000 萬美元的資金。然而更讓人感到無語的是，這一漏洞直到七個月后才被人曝光。

通常情況下，為透明起見，項目放都會盡快向公眾通報安全事件 —— 即便類似 Mirror Protocol 漏洞的事件相當罕見。

BlockSec 指出：與 ETH 和兼容區塊鏈相比，在 Terra 上掃描相關問題的人較少，因而該漏洞才遲遲未被公眾所知曉。

此外 Mirror 網站上沒有可以查看協議中抵押品總量的界面，這使得在不篩選大量區塊鏈數據的情況下，更難發現相關漏洞。

本月早些時候，大約在 UST 穩定幣開始崩潰的同時，Mirror 開發人員悄悄修復了該漏洞 —— 補丁發布一周后，社區成員開始懷疑是否存在漏洞。

當然，這并不是黑客首次盯上加密貨幣的區塊鏈協議。比如 2022 年 3 月，在黑客從 Ronin 側鏈竊走 6 億美元之后一周，無法提取資金的人們才意識到有糟糕的事情發生。

最后，被美國證券交易委員會（SEC）調查的 Mirror Protocol 尚未就此事發表官方評論。

The Block 向 Mirror / Terraform Labs 團隊發去了置評請求，但截止發稿時，它們都未予置評。