Nhầm lẫn xảy ra sau khi token Luna mới được phát hành hôm 28/5 và nền tảng này mới khắc phục xong sự cố. Tuy nhiên, kẻ tấn công đã kịp lợi dụng sơ hở và rút đi số tiền trị giá hơn hai triệu USD của Mirror Protocol.
Mirror Protocol là nền tảng cho phép người dùng có thể tạo "tài sản phản chiếu" từ thế giới thật thành tài sản số và giao dịch. Nền tảng này sử dụng blockchain Terra cũ. Do đó, các giao dịch được thực hiện theo giá của token Luna và UST cũ.
Sau khi kế hoạch Terra 2 được thông qua, các token cũ được đổi thành Lunc và USTC. Còn "Luna" lại là tên gọi mới cho token trên blockchain mới. Tuy nhiên, hệ thống dự báo giá của Mirror vẫn là phiên bản cũ, đã thu thập báo giá của Luna cũ (nay là Lunc) theo giá thị trường của Luna mới.
Khi được phát hiện, Lunc có giá 0,0001 USD, trong khi giá của Luna mới vào khoảng 5 USD. "Với 1.000 USD mua Lunc, kẻ tấn công đã có thể nạp vào một lượng tài sản thế chấp tương đương 1,3 triệu USD và rút ra các tài sản thực", FatMan, một chuyên gia trong cộng đồng Terra, phân tích.
FatMan cũng cho biết các nhóm tài sản trên Mirror gồm mBTC, mETH, mDOT and mGLXY đã bị hacker rút hết. Số tài sản này có giá trị khoảng 2 triệu USD. Nếu không sửa lỗi, tình trạng có thể càng trở nên nghiêm trọng khi mức chênh lệch giá giữa Lunc và Luna ngày càng cao.
"Vui lòng xem xét việc sửa giá Lunc. Nếu không, trong thời gian ngắn, tất cả các nguồn thanh khoản sẽ cạn kiệt. Mirror sẽ tích lũy nợ xấu không thể khắc phục và khiến hệ thống tự sụp đổ" FatMan viết và gửi lời nhắn đến Do Kwon "giờ không phải lúc để cẩu thả".
Mirror Protocol chưa thông báo chính thức về sự nhầm lẫn. Tài khoản Twitter của nền tảng này đã im hơi lặng tiếng từ 5/5, trước khi sự cố với Luna và UST diễn ra. Các nhà phát triển sau đó đã âm thầm sửa lỗi này. Đến cuối ngày 31/5, giá của Lunc trên Mirror đã về đúng giá thị trường, theo Cointelegraph.
Các chuyên gia cũng phát hiện nền tảng này từng bị khai thác lỗi từ tháng 10 năm ngoái nhưng không ai biết. Lỗi liên quan đến cơ chế khóa tài sản thế chấp và rút tiền của Mirror thông qua số ID. Do hợp đồng thông minh bị lỗi, người dùng có thể sử dụng một ID để rút nhiều lần mà vẫn được hệ thống cho phép. Một người dùng không xác định đã thực hiện việc này và lấy đi số tiền gấp hàng trăm lần giá trị tài sản thế chấp của họ, khiến hệ thống thiệt hại khoảng 90 triệu USD. Lỗi cũng đã âm thầm được sửa vào đầu tháng 5.
Lưu Quý