上週，一名Terra 社區成員意外發現了某個被疏忽七個月的DeFi 漏洞，並且得到了BlockSec 安全分析師的證實。2021 年10 月，DeFi 應用程序Mirror Protocol 在舊Terra 區塊鏈上遭受了9000 萬美元的攻擊損失，但社區直到上週才意識到它的存在。據悉，Mirror Protocol 允許用戶使用合成資產，對科技股進行做多或做空。

Mirror Protocol 建立在Terra 區塊鏈之上，然而在TerraUSD（UST）穩定幣失去與美元的錨定之後，其姊妹代幣Luna 在本月早些時候也被拖累到幾乎一文不值。

在經歷了混亂的幾週後，社區投票通過了硬分叉的Terra 2.0 以消弭影響，而原始鏈則倍改名為Terra Classic 。

本文提到的漏洞，由Terra 社區成員兼分析師“FatMan”曝光。這對最新推出的Terra 2.0 區塊鏈，他也是最直言不諱的反對者之一。

同時安全公司BlockSec 通過分析特定的漏洞利用交易，證實了FatMan 的這一發現。

可知每當有人想要在Mirror 上做空時，其必須將包括UST、LUNA Classic（LUNC）和mAssets 在內的抵押品鎖定至少14 天。

交易結束後，用戶可解鎖抵押品、並將資產釋放回錢包，且所有相關操作都是在智能合約生成的ID 號的幫助下完成的。

然而由於代碼上的Bug，報導稱Mirror 的鎖定合約、未能檢查何時有人多次使用同一個ID 來提取資金。

於是2021 年10 月，某個不知名的實體發現了這一漏洞，並藉此利用重複ID 列表來反复解鎖數以百倍的抵押品—— 基本上意味著肇事者能夠在沒有任何授權的情況下提取資金。

後續的區塊鏈記錄表明，該實體總共撬走了約9000 萬美元的資金。然而更讓人感到無語的是，這一漏洞直到七個月後才被人曝光。

通常情況下，為透明起見，項目放都會盡快向公眾通報安全事件—— 即便類似Mirror Protocol 漏洞的事件相當罕見。

BlockSec 指出：與ETH 和兼容區塊鏈相比，在Terra 上掃描相關問題的人較少，因而該漏洞才遲遲未被公眾所知曉。

此外Mirror 網站上沒有可以查看協議中抵押品總量的界面，這使得在不篩選大量區塊鏈數據的情況下，更難發現相關漏洞。

本月早些時候，大約在UST 穩定幣開始崩潰的同時，Mirror 開發人員悄悄修復了該漏洞—— 補丁發布一周後，社區成員開始懷疑是否存在漏洞。

當然，這並不是黑客首次盯上加密貨幣的區塊鏈協議。比如2022 年3 月，在黑客從Ronin 側鏈竊走6 億美元之後一周，無法提取資金的人們才意識到有糟糕的事情發生。

最後，被美國證券交易委員會（SEC）調查的Mirror Protocol 尚未就此事發表官方評論。

The Block 向Mirror / Terraform Labs 團隊發去了置評請求，但截止發稿時，它們都未予置評。