Terra cierpi z powodu naruszenia bezpieczeństwa o wartości 6,8 mln dolarów przed głosowaniem w sprawie upadłości TerraForm

Terra doświadcza większych turbulencji z powodu złożonego naruszenia bezpieczeństwa, co powoduje utratę 6,8 miliona dolarów z łańcucha przestraszonego bitwami.

• Haker wykorzystuje przestarzałą poprawkę bezpieczeństwa Terry, aby wybijać tokeny z powietrza.

• Dzieje się to zaledwie tydzień po ogłoszeniu przez TerraForm Labs planu spłaty.

• Społeczność Terry identyfikuje winowajcę, ale wyczerpane fundusze już dawno minęły.

Wciąż występują problemy ze znalezieniem blockchainu Terra Luna, ponieważ natywny łańcuch TerraForm Labs został tymczasowo zatrzymany w bloku 11430400 31 lipca 2024 r. 

Akcja ta została podjęta po tym, jak wiele platform wywiadowczych blockchain podniosło alarm w związku z drenażem ponad 6 milionów dolarów z aktywów cyfrowych, w tym 60 milionów tokenów ASTRO, pochodzących z protokołu płynności Astroport w łańcuchu Terra Luna.

Oprócz własnego tokena Astroport, podczas incydentu wyczerpano oszałamiające 3,5 mln Circle USD (USDC), 500 000 Tether USD (USDT) i 2,7 Bitcoina (BTC). 

Incydent z włamaniem, który spowodował szkody na kwotę 6,8 miliona dolarów, miał miejsce zaledwie tydzień po tym, jak TerraForm Labs wydało harmonogram roszczeń z tytułu strat związanych z kryptowalutami dla uciskanych inwestorów w związku z fiaskiem Terra Luna w 2022 roku.

Jak haker firmy Terra wykorzystał przestarzały system

Według Astroport luka w zabezpieczeniach sieci Inter-Blockchain Communication (IBC) została wykryta w kwietniu 2024 r. 

UWAGA

Łańcuch Terra został zatrzymany ze względu na awaryjne aktualizacje.https://t.co/1ClV5KahMO

Wygląda na to, że luka w zabezpieczeniach IBC została wykorzystana w celu wybicia kilku tokenów w łańcuchu Terra, w tym $ASTRO. Ponieważ łańcuch został zatrzymany, nie można w tym momencie wybić dalszych żetonów…

— Astroport ✦ (@astroport_fi) 31 lipca 2024 r

Ponieważ nowy łańcuch Terry nie został załatany, exploitowi udało się wybić nowe tokeny na Terrze, wykorzystując kontrakt wywoławczy IBC z hakami IBC i limitem czasu.

Analiza naruszeń bezpieczeństwa przeprowadzona przez firmę Cyvers zajmującą się audytem bezpieczeństwa blockchain uwypukliła, że ​​pomimo tego, że problem był publicznie znany od kwietnia, pakiet aktualizacji zainstalowany w czerwcu 2024 r. na Terra 2.0 przeoczył to, torując w ten sposób drogę do naruszenia bezpieczeństwa.

Hakerzy wykorzystali transfery na małą skalę, które nigdy nie przekraczały 56 LUNA lub 7800 USDC na transakcję, ale mimo to udało im się wynieść 6,8 miliona dolarów. 

Wkrótce potem oszust wykorzystał most krzyżowy, aby przydzielić skradzione środki do Ethereum i zamienił łup o wartości 6,8 mln dolarów na Ether (ETH).

Chociaż społeczność sieci Terra potwierdziła, że ​​zidentyfikowała adres kryptograficzny sprawcy, odzyskanie tych środków cyfrowych może być niemożliwe. 

Haker wykorzystał moduł strony trzeciej do kontraktów międzyłańcuchowych i transferów tokenów pomiędzy blockchainami.

Społeczność pełna żalu: czy można było temu zapobiec?

Społeczność posiadaczy Terra Luna głośno wypowiadała się na temat niedawnego niepowodzenia, ponieważ wielu entuzjastów kryptowalut wyraziło ubolewanie z powodu cofnięcia aktualizacji związanej z IBC w czerwcowej aktualizacji łańcucha. 

Gdyby nie to było przyczyną, incydentowi z włamaniem można byłoby zapobiec – przekonuje Ethan Buchman, współzałożyciel Cosmos Chains. 

https://twitter.com/buchmanster/status/1818635038260428982

„Niestety używają rozwidlenia IBC, co utrudnia bycie na bieżąco i instalowanie poprawek bezpieczeństwa” – mówi Buchman.

Współzałożyciel Cosmos Chains nawiązuje do przestarzałego rozwidlenia IBC-go 7.3.x, ostatniej aktualizacji we wrześniu 2023 r. Z tego powodu Terra 2.0 przegapiła krytyczną łatkę, która uniemożliwiałaby hakerowi wybijanie tokenów na blockchainie Terra Luna rzadkiego powietrza.

„Potrzebujemy wysiłku obejmującego cały ekosystem, aby rozwidlić jak najwięcej projektów” – zastanawia się Ethan Buchman. Wypadek ogromnie wpłynął na natywną kryptowalutę sieci, ponieważ 1 sierpnia 2024 r. wartość LUNA spadła do 0,369 dolara.

Exploit powiązany z komunikacją między blokami (IBC) miał wpływ na Terra 2.0, ale pomijał oryginalny łańcuch Terra Luna Classic (LUNC).

Firma Original Labs, która zarządza stanem bezpieczeństwa Terra Luna Classic (LUNC), wdrożyła odpowiednią poprawkę w maju 2024 r.

Wyeliminowanie przeszkód i zastosowanie w odpowiednim czasie aktualizacji łańcucha może zapobiec naruszeniom bezpieczeństwa wynikającym z podatnego na ataki kodu.