DeFi-hack van 90 miljoen dollar komt pas na zeven maanden boven water
Het Mirror Protocol is op 8 oktober 2021 voor 90 miljoen dollar (ongeveer 85 miljoen euro) gehackt en begin mei, ruim zeven maanden na dato, is de miljoenenroof pas aan het licht gekomen. Twitteraar FatManTerra geeft aan dat hij de hack puur per toeval op het spoor kwam.
Lek als een mandje
Het lukte de hackers om miljoenen uit het Mirror Protocol te trekken vanwege een fout in het smart contract. Die fout maakt het mogelijk om “opnieuw en opnieuw, zonder risico” geld uit het contract te halen. Het contract fungeerde als kluis voor digitaal onderpand in het Mirror Protocol. Die digitale kluis blijkt nu dus al maanden zo lek als een mandje te zijn, met alle gevolgen van dien.
Contracten op Terra protocol
De contracten in kwestie van het Mirror Protocol draaiden op de Terra-blockchain. Een naam die je de afgelopen weken ongetwijfeld voorbij hebt zien komen vanwege het enorme drama dat zich daar heeft afgespeeld. Nadat de UST-stablecoin van Terra de koppeling met de Amerikaanse dollar verloor, ging ook de LUNA token ten onder en ging er voor miljarden aan vermogen in digitale rook op.
De assets van het Mirror Protocol waren overigens niet alleen beschikbaar via de Terra blockchain. Die kun je ook verhandelen via Ethereum en de Binance Smart Chain. Een blik op de Terra blockchain leert ons dat het de aanvaller inderdaad lukte om vastgezette UST-fondsen uit het protocol te trekken met dezelfde transactie. Alles bij elkaar legde hij of zij 17,54 dollar (16,66 euro) neer om alle fondsen uit de kluizen te halen.
Wat is het Mirror Protocol?
Los van het feit dat de smart contracts van het Mirror Protocol blijkbaar niet helemaal in orde waren, zijn er wel interessante dingen mogelijk op het platform. Het Mirror Protocol is namelijk een decentrale applicatie die het mogelijk maakt om digitale synthetische assets te creëren. Dat klinkt heel spannend, maar een synthetische asset is niets meer dan een token die de koers van financiële producten uit de “echte wereld” vertegenwoordigt. Zo is het bijvoorbeeld mogelijk om aandelen Tesla en Google te maken met puur en alleen cryptocurrency’s als onderliggende assets.
De bugs die zijn ontdekt door de Mirror community zijn inmiddels in stilte opgelost door de ontwikkelaars van het protocol. Het team heeft geen commentaar gegeven op de situatie en dat komt ze vanuit de gemeenschap begrijpelijkerwijze op kritiek te staan. FatManTerra denkt dat er geen reden is om te vermoeden dat de hacker iemand van de organisatie zelf is geweest.
Niet de enige
Het Mirror Protocol is niet de eerste partij die pas enige tijd na een hack tot de ontdekking komt dat er fondsen zijn verdwenen. In het verleden heeft het team van Ronin er zes dagen over gedaan om zich te realiseren dat ze voor 600 miljoen dollar (570 miljoen euro) de boot in waren gegaan. Maar dat neemt niet weg dat er nog een behoorlijk verschil zit tussen 6 dagen en 7 maanden. Wat dat betreft heeft de DeFi-wereld duidelijk nog stappen te zetten. In een volwassen industrie horen dit soort gekkigheden immers niet thuis. Zeker niet als we willen dat de hele wereld dit soort protocollen gaat gebruiken.
