Un décalage dans les prix rapportés des actifs sous-jacents sur la plateforme d’actifs synthétiques Mirror Protocol a provoqué une brèche qui a le potentiel de drainer tous ses fonds.

Cela a été observé le 29 mai par le participant à la gouvernance « Mirroruser » sur le forum du protocole. Au moment de la rédaction de cet article, les pools d’actifs synthétiques mBTC, mDOT, mETH et mGLXY du protocole ont perdu presque tous leurs actifs, évalués à plus de 2 millions de dollars.

Mirror permet de négocier des actifs synthétiques, tels que des actions et des cryptomonnaies, sur les blockchains Terra et Terra Classic Layer-1, BNB Chain (BNB) et Ethereum (ETH).

Une erreur de prix pour Luna Classic (LUNC) a rendu cet abus possible. Les validateurs restants sur Terra Classic ont signalé que le prix du LUNC (0,000 122 $) était le même que celui du LUNA (9,32 $) nouvellement lancé, alors que leurs prix réels sur le marché varient énormément selon CoinGecko.

L’ambassadeur de la communauté Chainlink, ChainLinkGod, a expliqué le 31 mai que les « validateurs de Terra Classic utilisaient une version obsolète du logiciel oracle ».

Le @mirror_protocol vient d’être exploité à nouveau, car les validateurs Terra Classic ont indiqué le prix de la nouvelle pièce Terra 2,0 $LUNA (~9,80 $) au lieu de la pièce Terra Classic $LUNC (~0,000 1 $). C’est un échec massif https://t.co/hO0M0UFBYq https://t.co/ygbr3ij4iS pic.twitter.com/PO0huxX8oQ — ChainLinkGod.eth (@ChainLinkGod) 30 mai 2022.

Venus Protocol et Blizz Finance ont chacun souffert d’un abus similaire en mai lorsque le prix de LUNA indiqué par l’oracle Chainlink est resté à 0,10 dollar alors que le prix du marché était bien inférieur. Blizz Finance a été entièrement vidée, tandis que Venus a perdu 11,2 millions de dollars.

Le lanceur d’alerte de la communauté Terra sur Twitter, le pseudonyme « FatMan », a averti que l’abus Mirror affectera les autres pools d’actifs « m » vers 8 h UTC le 31 mai. Toutefois, le compte affirme également que la plupart des pools peuvent être sauvés si les développeurs interviennent pour corriger le bug.

À 12 h 55 UTC, il semble que l’erreur de prix ait été corrigée pour LUNC, car le prix vérifié par l’oracle est revenu à sa valeur de marché réelle.

C’est la deuxième fois que Mirror souffre d’une vulnérabilité majeure. Le précédent bug dans le code de Mirror a été exploité « des centaines de fois » depuis 2021, selon FatMan dans un tweet du 27 mai. Le premier bug permettait à un utilisateur de déverrouiller les garanties d’autres utilisateurs sur le protocole et de les sortir lui-même. Au total, le premier attaquant s’est enfui avec « bien plus de 30 millions de dollars » et a pu passer inaperçu jusqu’à mai 2022, a-t-il ajouté.

À lire également : L’organisme de surveillance coréen commence à évaluer les risques liés aux cryptomonnaies après le vote de Terra 2.0

Le 28 mai, l’écosystème Terra a été relancé lorsque Terra 2.0 a été mis en ligne, conformément aux plans du fondateur Do Kwon. Terra 2,0 est un fork de la blockchain désormais nommée Terra Classic. Les tokens LUNA sont remis aux investisseurs qui détenaient la version précédente de LUNA et le stablecoin TerraUSD (UST) lors de l’effondrement catastrophique de l’écosystème Terra au début du mois.

Les tokens Mirror Protocol (MIR) ont connu une baisse de 2 % au cours des dernières 24 heures et se négocient à 0,31 $ selon CoinGecko.