Exploit caché de Mirror Protocol

En octobre 2021, le protocole d'actifs synthétiques basé sur Terra Mirror Protocol a été drainé d'environ 90 millions de dollars via un exploit d'ID dupliqué qui est passé inaperçu pendant sept mois. La brèche n'a été découverte qu'en mai 2022 — après que le stablecoin de Terra s'était déjà effondré et que l'écosystème plus large se dénouait — par un analyste communautaire connu sous le nom de « FatMan » qui a remarqué un écart inexpliqué dans les soldes de garantie du protocole.

Ce qui s'est passé

Mirror Protocol permettait aux utilisateurs de créer des actifs synthétiques (« mAssets ») représentant des titres du monde réel — mTSLA pour l'action Tesla, mAAPL pour Apple, et ainsi de suite — en verrouillant des garanties dans des contrats intelligents côté Terra. Pour retirer la garantie, l'utilisateur devait racheter la position mAsset correspondante identifiée par un ID de position.

Le bug : la fonction de rachat acceptait une liste d'ID de positions sans vérifier les doublons. Un attaquant pouvait soumettre le même ID de position légitime des centaines de fois en un seul appel de rachat, et le contrat libérait la garantie pour chaque ID répété séparément — transformant effectivement un retrait légitime en plusieurs.

Une seule entité inconnue a découvert cela en octobre 2021 et l'a utilisé pour extraire à plusieurs reprises des garanties qui n'étaient pas les siennes. Le total drainé sur la campagne a atteint ~90 millions de dollars. Parce que l'exploit fonctionnait via ce qui ressemblait à des flux de rachat ordinaires — juste avec des formes de transaction inhabituelles — il ne laissait aucune anomalie évidente dans les vues d'explorateur standard.

Pourquoi c'est resté indétecté

Trois facteurs ont rendu la perte invisible pendant sept mois :

1. Terra avait une communauté de recherche en sécurité plus petite qu'Ethereum, ce qui signifiait moins de regards auditant continuellement l'activité on-chain.
2. Mirror Protocol n'avait pas de vue front-end montrant la garantie verrouillée totale du protocole en agrégat, donc la divergence entre « ce que les utilisateurs avaient déposé » et « ce qui était réellement dans le contrat » n'avait aucune manifestation d'UI.
3. L'attaquant n'a pas vidé les recettes sur les DEX Terra de manière à déplacer les prix ou attirer l'attention ; le blanchiment était lent et délibéré.

La brèche n'a été découverte qu'après que le stablecoin UST de Terra s'est effondré en mai 2022 et les plongées forensiques ultérieures par les analystes communautaires ont fait surface les anciens schémas de transactions.

Conséquences

• Au moment où l'exploit a été identifié, Terra s'était effondré. Mirror Protocol avait effectivement cessé ses opérations avec le reste de l'écosystème DeFi Terra.
• Aucune récupération on-chain n'était possible ; les fonds volés avaient déjà été pontés, échangés et blanchis sur les sept mois de délai.
• Un autre exploit Mirror Protocol plus petit en mai 2022 a été découvert peu après.

Pourquoi c'est important

Mirror Protocol est l'un des exemples les plus frappants d'exploits DeFi « silencieux » — où un drain significatif se produit, personne ne le remarque, et les métriques rapportées du protocole continuent d'afficher un état sain pendant que les réserves se vident silencieusement. Les réponses défensives — surveillance automatisée de la solvabilité (vérifications TVL contre mAsset en circulation, dans ce cas), alertes on-chain quand les ratios de réserve dérivent en dehors des bandes attendues, services de surveillance continue financés par la communauté — sont devenues une pratique standard pour les protocoles DeFi sérieux depuis, mais étaient absentes chez Mirror.

La leçon plus profonde et inconfortable : « personne n'a signalé de piratage » n'est pas la même chose que « aucun piratage ne s'est produit ». Pendant sept mois, les preuves on-chain étaient en public, et l'absence d'un système d'alerte pour faire surface l'écart était elle-même la surface d'attaque.