Seorang anggota forum Terra Research Forum dengan pseudonim “Mirroruser” membuat postingan tentang dugaan penyerangan terhadap Mirror Protocol. Dalam postingan tersebut, Mirroruser menyebut adanya kemungkinan oracle harga yang tidak valid, menyebabkan kolam aset untuk mBTC, mETH, dan mDOT dikuras oleh penyerangnya.
Oracle adalah alat yang digunakan oleh protokol untuk mengumpulkan data harga dari dunia nyata. Dalam hal ini, oracle menarik data harga saham dan cryptocurrency dari dunia nyata.
Penyerangan ini digaungkan juga oleh pengguna Twitter dengan nama akun “@FatManTerra”. FatMan adalah salah satu dari beberapa orang di komunitas Terra yang menyuarakan ketidaksetujuan mereka terhadap cara peluncuran blockchain Terra yang baru. Dalam cuitannya, dia menyebut bahwa ada kira-kira $2 juta yang sejauh ini berhasil diambil oleh peretasnya.
Mirror Protocol adalah sebuah protokol DeFi di ekosistem Terra (kini Terra Classic) yang menawarkan aset-aset yang ter-mirrored atau mAssets. Dalam kata lain, Mirror Protocol mengizinkan para penggunanya untuk membeli aset sintetik yang melacak pergerakan harga dari aset di dunia nyata seperti saham, emas, bahkan Bitcoin.
Bila bug ini tak segera diperbaiki, kolam aset lainnya – yang kebanyakan adalah saham sintetik – terancam dikuras juga.
“Tolong perbaiki oracle harga LUNC, karena dalam beberapa saat lagi, semua kolam likuiditas akan dikuras, Mirror akan terkena utang buruk yang tidak bisa diperbaiki, dan sistemnya akan runtuh dengan sendirinya. Ini bukan waktu untuk menjadi lalai”
Cuitan @FatManTerra yang ditujukan kepada Do Kwon dan Mirror Protocol
Mirror Protocol diserang 7 bulan yang lalu, baru ketahuan sekarang
Sementara itu, sebuah laporan dari The Block menyebut bahwa protokol DeFi ini juga mengalami serangan pada bulan Oktober tahun 2021, namun peristiwa ini baru terungkap minggu lalu. Dalam serangan ini, dilaporkan bahwa penyerang berhasil menguras $90 juta dari blockchain Terra yang lama. Serangan ini juga diungkap oleh FatMan.
Menurut laporan dari The Block, serangan ini disebabkan oleh bug kode yang menyebabkan kontrak penguncian di Mirror gagal mengecek ketika seseorang menggunakan ID yang sama ketika sedang menarik dana. Bila seorang pedagang ingin membuat taruhan terhadap sebuah saham di Mirror, mereka harus mengunci agunan di protokol itu – termasuk dalam wujud UST, Luna Classic (LUNC) atau mAssets – untuk setidaknya 14 hari. Dana yang terkunci ini dapat ditarik setelah perdagangannya selesai dengan bantuan nomor ID yang diciptakan oleh smart contract-nya.
Ini merupakan salah satu kasus langka di mana sebuah serangan besar tidak terungkap untuk waktu yang lama. Biasanya, ketika sebuah proyek mengetahui adanya ancaman dalam keamanan, proyek tersebut langsung mengumumkan ancaman ini agar menjadi transparan.
Blocksec berpendapat bahwa sedikitnya orang yang melacak masalah-masalah di Terra dibandingkan dengan di Ethereum dan chain lain yang kompatibel dengan Ethereum menjadi alasan lamanya pengungkapan serangan ini.