Kesalahan pada perangkat lunak oracle untuk validator Terra Classic membuka celah bagi pengeksploitasi untuk menguras aset dari Mirror Protocol. Ketidaksesuaian dalam harga aset dasar yang dilaporkan pada Platform DeFi Mirror Protocol telah menyebabkan eksploitasi berkelanjutan yang berpotensi menguras semua dananya
Eksploitasi terdeteksi pada 29 Mei oleh ‘Mirroruser’ di forum protokol. Pada saat penulisan, kumpulan aset mBTC, mDOT, mETH, dan mGLXY pada protokol telah kehilangan hampir semua aset mereka senilai lebih dari $2 juta. Mirror memperdagangkan aset seperti saham dan cryptocurrency di blockchain Terra dan Terra Classic layer-1, BNB Chain (BNB), dan Ethereum (ETH).
Kesalahan harga untuk Luna Classic (LUNC) memungkinkan eksploitasi. Validator yang tersisa di Terra Classic melaporkan bahwa harga LUNC ($0,000122) sama dengan LUNA yang baru diluncurkan ($9,32) meskipun harga pasar sebenarnya sangat bervariasi menurut CoinGecko.
Perwakilan komunitas Chainlink ‘ChainLinkGod’ menjelaskan pada 31 Mei bahwa “validator Terra Classic menjalankan versi lama dari perangkat lunak oracle.”
Venus Protocol dan Blizz Finance masing-masing mengalami eksploitasi serupa di bulan Mei ketika harga LUNA yang dilaporkan Oracle Chainlink tetap di $0,10 sementara harga pasar jauh di bawah itu. Blizz Finance sepenuhnya terkuras sementara Venus kehilangan $ 11,2 juta.
Pelapor komunitas Terra di Twitter, dengan nama samaran ‘FatMan’, memperingatkan bahwa eksploitasi Mirror akan memengaruhi kumpulan aset ‘m’ lainnya sekitar pukul 8:00 UTC pada tanggal 31 Mei. Namun, akun tersebut juga mengklaim bahwa sebagian besar kumpulan dapat diselamatkan jika pengembang turun tangan untuk memperbaiki bug.
Pada 12:55 UTC, tampaknya kesalahan penetapan harga telah diperbaiki untuk LUNC, karena harga yang diverifikasi oleh oracle telah kembali ke nilai pasar sebenarnya.
Ini adalah kedua kalinya Mirror mengalami kerentanan besar. Bug sebelumnya dalam kode Mirror telah dieksploitasi “ratusan kali” sejak 2021 menurut FatMan dalam tweet 27 Mei. Eksploitasi pertama memungkinkan pengguna untuk membuka password pengguna lain pada protokol dan menariknya sendiri. Secara keseluruhan, pengeksploitasi pertama berhasil lolos dengan “lebih dari $30 juta” dan tidak diketahui sampai Mei 2022, tambahnya.