Exploit oculto en Mirror Protocol

En octubre de 2021, el protocolo de activos sintéticos basado en Terra Mirror Protocol fue drenado por aproximadamente $90 millones mediante un exploit de ID duplicado que pasó desapercibido durante siete meses. La brecha solo se descubrió en mayo de 2022 — después de que la stablecoin de Terra ya hubiera colapsado y el ecosistema más amplio se estuviera desmontando — por un analista comunitario conocido como "FatMan" que notó una discrepancia inexplicable en los saldos de colateral del protocolo.

Qué ocurrió

Mirror Protocol permitía a los usuarios mintear activos sintéticos ("mAssets") que representaban valores del mundo real — mTSLA para acciones de Tesla, mAAPL para Apple, etc. — bloqueando colateral en contratos inteligentes del lado de Terra. Para retirar el colateral, el usuario tenía que redimir la posición mAsset correspondiente identificada por un ID de posición.

El bug: la función de redención aceptaba una lista de IDs de posición sin verificar duplicados. Un atacante podía enviar el mismo ID de posición legítimo cientos de veces en una sola llamada de redención, y el contrato liberaría el colateral para cada ID repetido por separado — convirtiendo efectivamente una retirada legítima en muchas.

Una sola entidad desconocida descubrió esto en octubre de 2021 y lo usó para extraer repetidamente colateral que no era suyo. El total drenado durante la campaña alcanzó ~$90 millones. Como el exploit operaba a través de lo que parecían flujos de redención ordinarios — simplemente formas de transacción inusuales — no dejó ninguna anomalía obvia en las vistas estándar del explorador.

Por qué pasó desapercibido

Tres factores hicieron que la pérdida fuera invisible durante siete meses:

1. Terra tenía una comunidad de investigación de seguridad más pequeña que Ethereum, lo que significa que menos ojos auditaban continuamente la actividad on-chain.
2. Mirror Protocol no tenía una vista de front-end que mostrara el colateral total bloqueado del protocolo en agregado, por lo que la divergencia entre "lo que los usuarios habían depositado" y "lo que estaba realmente en el contrato" no tenía manifestación en la UI.
3. El atacante no liquidó las ganancias en los DEX de Terra de formas que hubieran movido precios o atraído atención; el blanqueo fue lento y deliberado.

La brecha solo se descubrió después de que la stablecoin UST de Terra colapsara en mayo de 2022 y los análisis forenses profundos posteriores por parte de analistas comunitarios sacaran a la luz los antiguos patrones de transacción.

Consecuencias

• Para cuando se identificó el exploit, Terra había colapsado. Mirror Protocol había cesado efectivamente sus operaciones junto con el resto del ecosistema DeFi de Terra.
• No fue posible ninguna recuperación on-chain; los fondos robados ya habían sido puenteados, intercambiados y blanqueados durante el retraso de siete meses.
• Un exploit separado y más pequeño en Mirror Protocol en mayo de 2022 se descubrió poco después.

Por qué importa

Mirror Protocol es uno de los ejemplos más llamativos de exploits DeFi "silenciosos" — donde ocurre un drenaje significativo, nadie lo nota, y las métricas reportadas del protocolo siguen mostrando un estado saludable mientras las reservas se agotan silenciosamente. Las respuestas defensivas — monitoreo automatizado de solvencia (comprobaciones de TVL frente a mAssets en circulación, en este caso), alertas on-chain cuando los ratios de reserva se desvían fuera de bandas esperadas, servicios de monitoreo continuo financiados por la comunidad — se han convertido en práctica estándar para protocolos DeFi serios desde entonces, pero estaban ausentes en Mirror.

La lección más profunda e incómoda: "nadie ha reportado un hackeo" no es lo mismo que "no ha ocurrido un hackeo". Durante siete meses, la evidencia on-chain estuvo a la vista del público, y la ausencia de un sistema de alertas para sacar a la luz la discrepancia fue en sí misma la superficie de ataque.