Mirror Protocol versteckter Exploit

Im Oktober 2021 wurde das Terra-basierte Synthetic-Asset-Protokoll Mirror Protocol um etwa 90 Millionen $ durch einen Duplikat-ID-Exploit ausgeplündert, der sieben Monate unbemerkt blieb. Der Einbruch wurde erst im Mai 2022 entdeckt — nachdem Terras Stablecoin bereits kollabiert war und das breitere Ökosystem sich auflöste — von einem Community-Analysten namens "FatMan", der eine unerklärte Diskrepanz in den Sicherheitenständen des Protokolls bemerkte.

Was geschah

Mirror Protocol ließ Nutzer synthetische Vermögenswerte ("mAssets") prägen, die reale Wertpapiere repräsentierten — mTSLA für Tesla-Aktien, mAAPL für Apple usw. — indem sie Sicherheiten in Terra-seitige Smart Contracts sperrten. Um Sicherheiten abzuheben, musste der Nutzer die entsprechende mAsset-Position einlösen, identifiziert durch eine Positions-ID.

Der Bug: Die Einlösefunktion akzeptierte eine Liste von Positions-IDs ohne Duplikatprüfung. Ein Angreifer konnte dieselbe legitime Positions-ID hunderte Male in einem einzigen Einlöseaufruf einreichen, und der Vertrag würde die Sicherheiten für jede wiederholte ID separat freigeben — was effektiv eine legitime Abhebung in viele verwandelte.

Eine einzige unbekannte Entität entdeckte dies im Oktober 2021 und nutzte es, um wiederholt Sicherheiten zu extrahieren, die ihr nicht gehörten. Die gesamte über die Kampagne abgezogene Summe erreichte ~90 Millionen $. Da der Exploit über das, was wie gewöhnliche Einlöse-Flows aussah, operierte — nur ungewöhnliche Transaktionsformen — hinterließ er keine offensichtliche Anomalie in den Standard-Explorer-Ansichten.

Warum es unentdeckt blieb

Drei Faktoren machten den Verlust sieben Monate lang unsichtbar:

Terra hatte eine kleinere Sicherheitsforschungs-Community als Ethereum, was bedeutete, dass weniger Augen kontinuierlich On-Chain-Aktivität auditierten.
Mirror Protocol hatte keine Front-End-Ansicht, die die gesamten gesperrten Sicherheiten des Protokolls aggregiert zeigte, sodass die Divergenz zwischen "was Nutzer eingezahlt hatten" und "was tatsächlich im Vertrag war" keine UI-Manifestation hatte.
Der Angreifer warf die Erlöse nicht auf Terra-DEXs in einer Weise ab, die Preise bewegt oder Aufmerksamkeit erregt hätte; das Waschen war langsam und bewusst.

Der Einbruch wurde erst entdeckt, nachdem Terras UST-Stablecoin im Mai 2022 zusammenbrach und die nachfolgenden forensischen Tiefenanalysen durch Community-Analysten die alten Transaktionsmuster zutage förderten.

Folgen

Als der Exploit identifiziert wurde, war Terra zusammengebrochen. Mirror Protocol hatte den Betrieb zusammen mit dem Rest des Terra-DeFi-Ökosystems effektiv eingestellt.
Keine On-Chain-Wiederherstellung war möglich; die gestohlenen Mittel waren bereits über die siebenmonatige Verzögerung gebridget, getauscht und gewaschen.
Ein separater, kleinerer Mirror-Protocol-Exploit im Mai 2022 wurde kurz danach entdeckt.

Warum es wichtig ist

Mirror Protocol ist eines der eindrucksvollsten Beispiele für "stille" DeFi-Exploits — bei denen ein bedeutender Abfluss geschieht, niemand es bemerkt und die gemeldeten Metriken des Protokolls weiterhin einen gesunden Zustand zeigen, während die Reserven leise abnehmen. Die defensiven Antworten — automatisierte Solvenzüberwachung (in diesem Fall TVL-gegen-zirkulierende-mAsset-Prüfungen), On-Chain-Alarme, wenn Reserveverhältnisse außerhalb erwarteter Bandbreiten driften, community-finanzierte kontinuierliche Überwachungsdienste — sind seitdem zur Standardpraxis für ernste DeFi-Protokolle geworden, fehlten aber bei Mirror.

Die tiefere, unbequeme Lektion: "Niemand hat einen Hack gemeldet" ist nicht dasselbe wie "kein Hack ist aufgetreten". Sieben Monate lang lag der On-Chain-Beweis öffentlich vor, und das Fehlen eines Alarmsystems zur Aufdeckung der Diskrepanz war selbst die Angriffsfläche.