Terra зазнає ще більшої турбулентності через складний пролом у безпеці, що витягує 6,8 мільйонів доларів із наляканого битвою ланцюга.
Хакер використовує застарілий патч безпеки Terra, щоб карбувати токени з повітря.
Це сталося лише через тиждень після того, як TerraForm Labs оголосила про план погашення.
Спільнота Terra встановлює винуватця, але злитих коштів давно немає.
Проблеми з пошуком блокчейну Terra Luna постійно виникають, оскільки рідний ланцюжок TerraForm Labs був тимчасово зупинений у блоці 11430400 31 липня 2024 року.
Цю дію було вжито після того, як численні платформи блокчейну забили на сполох про вилучення понад 6 мільйонів доларів цифрових активів, включаючи 60 мільйонів токенів ASTRO, які є рідними для протоколу ліквідності Astroport у мережі Terra Luna.
Окрім власного токена Astroport, під час інциденту було викрадено 3,5 млн. доларів США Circle (USDC), 500 000 Tether USD (USDT) і 2,7 біткойна (BTC).
Хакерський інцидент, який завдав збитків на 6,8 мільйона доларів, стався лише через тиждень після того, як TerraForm Labs опублікувала графік позовів про втрату криптовалюти для пригнічених інвесторів фіаско Terra Luna 2022 року.
Як хакер Terra використовував застарілу систему
За даними Astroport, уразливість мережі Inter-Blockchain Communication (IBC) була виявлена у квітні 2024 року.
УВАГА
Мережа Terra призупинена для екстреного оновлення.https://t.co/1ClV5KahMO
Схоже, уразливість IBC була використана для карбування кількох токенів у мережі Terra, включаючи $ASTRO. Оскільки ланцюжок наразі зупинено, жодні інші токени не можна карбувати на цьому…
— Astroport ✦ (@astroport_fi) 31 липня 2024 р
Оскільки новий ланцюжок Terra не виправлено, експлуататору вдалося викарбувати нові токени на Terra, використовуючи контракт виклику IBC із гаками IBC і тайм-аутом.
Аудиторська компанія Cyvers про порушення безпеки блокчейнів підкреслила, що незважаючи на те, що проблема була відома громадськості з квітня, пакет оновлення, встановлений у червні 2024 року на Terra 2.0, не помітив це, прокладаючи шлях до порушення безпеки.
Хакери використовували невеликі перекази, які ніколи не перевищували 56 LUNA або 7800 доларів США за транзакцію, але все одно зуміли залишити збиток у 6,8 мільйона доларів.
Невдовзі після цього шахрай використав міжланцюговий міст, щоб перевести вкрадені кошти в Ethereum і обміняв здобич у розмірі 6,8 мільйонів доларів на Ether (ETH).
Хоча спільнота мережі Terra підтвердила, що ідентифікувала криптоадресу злочинця, отримати ці цифрові кошти може бути неможливо.
Хакер використовував сторонній модуль для міжланцюжкових контрактів і передачі токенів між блокчейнами.
Спільнота, повна жалю: чи можна було цьому запобігти?
Спільнота власників Terra Luna активно висловлювалася щодо нещодавньої невдачі, оскільки багато криптоентузіастів висловили жаль з приводу оновлення, пов’язаного з IBC, яке було скасовано під час оновлення мережі в червні.
Якби це було не причиною, хакерському інциденту можна було б запобігти, стверджує Ітан Бухман, співзасновник Cosmos Chains.
https://twitter.com/buchmanster/status/1818635038260428982
«На жаль, вони використовують форк IBC, що ускладнює оновлення та застосування патчів безпеки», — каже Бухман.
Співзасновник Cosmos Chains посилається на застарілий форк IBC-go 7.3.x, востаннє оновлений у вересні 2023 року. Через це Terra 2.0 пропустила критичний патч, який завадив би хакеру карбувати токени в блокчейні Terra Luna. розрідженого повітря.
«Потрібні зусилля в масштабах екосистеми, щоб розщепити якомога більше проектів», – міркує Ітан Бухман. Аварія надзвичайно вплинула на рідну криптовалюту мережі, оскільки 1 серпня 2024 року LUNA впала до $0,369.
Експлойт, пов’язаний із Inter-Blockchain Communication (IBC), вплинув на Terra 2.0, але пропустив оригінальний ланцюжок Terra Luna Classic (LUNC).
Компанія Genuine Labs, яка керує статусом безпеки Terra Luna Classic (LUNC), запровадила відповідний патч у травні 2024 року.
Усунення каменів спотикання та своєчасне оновлення ланцюжка може запобігти порушенням безпеки через вразливий код.
