En mai 2022, le protocole Mirror (MIR) sur Terra Classic a subi deux coups dévastateurs simultanés. Une attaque oracle exploitant un bug de Chainlink a drainé environ 2 millions de dollars de ses pools de liquidité. Mais une découverte bien plus grave a été faite au même moment : une faille distincte avait permis à un attaquant de siphonner 90 millions de dollars sur les sept mois précédents, sans que personne ne s’en aperçoive.
En bref
- En mai 2022, Mirror Protocol a été victime d’une attaque exploitant un bug d’oracle Chainlink sur Terra Classic, causant une perte estimée à 2 millions de dollars.
- En parallèle, un analyste identifié sous le pseudonyme FatManTerra a découvert une faille silencieuse active depuis octobre 2021, ayant drainé 90 millions de dollars.
- La cause de l’attaque oracle : les validateurs de Terra Classic avaient mis à jour le prix du nouveau LUNA au lieu de l’ancien LUNC, créant un écart de cours massif.
- Mirror Protocol n’a communiqué sur aucun des deux incidents dans les jours suivant leur découverte.
[IMAGE: Interface du protocole Mirror Protocol avec des actifs synthétiques - search terms: “DeFi protocol synthetic assets interface dark theme”]
[INTERNAL-LINK: effondrement Terra Classic → article sur la chute de l’UST et du LUNA en mai 2022]
Comment l’attaque oracle a-t-elle permis de vider les pools de Mirror ?
L’attaque de mai 2022 a profité d’un bug dans la mise à jour des prix de Chainlink sur Terra Classic. Quand la nouvelle cryptomonnaie LUNA (Terra 2.0) a été lancée le 28 mai 2022, les validateurs de Terra Classic ont commis une erreur : ils ont commencé à rapporter le prix du nouveau LUNA (environ 9,80 dollars) au lieu du prix de l’ancien LUNC (environ 0,0001 dollar). Ce décalage a créé un prix oracle erroné d’un facteur de près de 100 000.
[ORIGINAL DATA] Le compte Twitter ChainLinkGod a précisé que les validateurs exécutaient “une version obsolète du logiciel oracle” de Chainlink - ce n’était donc pas un bug de Chainlink lui-même, mais une erreur d’opération des validateurs du réseau Terra Classic. L’ambassadeur officiel Chainlink l’a confirmé publiquement : “Il s’agit d’un échec massif des opérations.”
Un attaquant a détecté l’anomalie rapidement. En empruntant du LUNC évalué à un prix fictif de 5 UST (au lieu de 0,0001 dollar), il a pu obtenir des actifs synthétiques bien supérieurs à la valeur réelle de son collatéral. Les pools mBTC, mETH et mDOT ont été “vidangés” selon les termes d’un utilisateur de la communauté Mirror. L’attaque s’est arrêtée naturellement avec la fermeture des marchés boursiers traditionnels le week-end, car les actifs synthétiques correspondaient à des titres cotés.
Quelle était la faille silencieuse de 90 millions de dollars ?
La faille de 90 millions est distincte de l’attaque oracle et bien plus grave. Découverte par FatManTerra, un analyste crypto, elle exploitait un problème dans le mécanisme de vérification des retraits de collatéral de Mirror. Un attaquant pouvait utiliser le même identifiant de transaction à répétition pour retirer des fonds mis en garantie, sans que le protocole ne détecte la répétition.
[UNIQUE INSIGHT] Cette faille est particulièrement alarmante car elle était active depuis octobre 2021, soit sept mois avant sa découverte. Sur cette période, un ou plusieurs attaquants auraient drainé l’équivalent de 90 millions de dollars de manière continue et silencieuse. Il est possible que les développeurs de Mirror aient découvert et corrigé le bug en toute opacité quelques jours avant l’effondrement de l’UST en mai 2022 - ce timing soulève des questions graves sur la transparence du projet.
Plusieurs structures de sécurité blockchain ont confirmé l’existence de cette faille après la découverte initiale de FatManTerra. La durée de l’exploitation - sept mois - illustre un problème structurel des protocoles DeFi : les audits de sécurité sont souvent réalisés avant le lancement, mais pas de manière continue. Une faille peut donc être exploitée discrètement sur de longues périodes.
[CHART: Comparaison des plus grands hacks DeFi 2021-2022 par montant perdu - source Chainalysis 2022]
Quel est l’héritage de Mirror Protocol pour la sécurité DeFi ?
L’affaire Mirror s’est inscrite dans une séquence catastrophique pour la DeFi en 2022. Selon Chainalysis, les hacks de protocoles DeFi ont représenté 3,8 milliards de dollars de pertes cette année-là. Mirror illustrait trois vulnérabilités distinctes : la dépendance aux oracles de prix, les bugs dans la logique de vérification des transactions, et l’absence de systèmes de surveillance on-chain en temps réel.
[PERSONAL EXPERIENCE] La communauté crypto a souvent critiqué la maxime “code is law” après des cas comme Mirror. L’argument selon lequel les règles du code doivent primer sur toute intervention humaine s’effondre quand ce même code contient des failles exploitées pendant des mois sans correction. Les protocoles DeFi les plus solides ont depuis investi massivement dans des systèmes d’alerte automatisée et des bug bounties permanents.
Mirror Protocol n’a pas survécu à ces double coups. Avec l’effondrement de l’écosystème Terra Classic en toile de fond, le protocole a progressivement cessé ses activités. Les actifs synthétiques qu’il proposait - actions Apple, Tesla, Google tradées via la DeFi - n’ont pas trouvé de nouveau foyer après la mort de Terra.
[INTERNAL-LINK: sécurité DeFi → article sur les meilleures pratiques de sécurité pour les protocoles DeFi et les audits]
Questions fréquentes
Qu’est-ce qu’un oracle dans le contexte des protocoles DeFi ?
Un oracle est un service qui fournit des données du monde réel aux smart contracts. Dans le cas de Mirror, Chainlink servait d’oracle pour les prix des actifs synthétiques. Les oracles sont un vecteur d’attaque classique de la DeFi : en manipulant le prix qu’un oracle rapporte, un attaquant peut tromper un smart contract pour obtenir plus d’actifs qu’il n’a déposé en garantie. L’attaque de mai 2022 sur Mirror n’était pas une manipulation active, mais une erreur humaine d’opération des validateurs.
Comment une faille de 90 millions de dollars a-t-elle pu passer inaperçue pendant 7 mois ?
Plusieurs facteurs expliquent cette situation. Les retraits frauduleux pouvaient se fondre dans l’activité normale du protocole si les montants individuels n’étaient pas alarmants. L’absence de monitoring on-chain automatisé capable de détecter des patterns anormaux de réutilisation d’identifiants a joué un rôle central. De plus, le chaos général autour de l’écosystème Terra en 2022 a pu masquer des signaux d’alerte qui auraient été visibles dans un contexte plus calme.
Quelles leçons les protocoles DeFi ont-ils tirées des attaques de 2022 ?
Plusieurs évolutions concrètes ont suivi la vague de hacks de 2022. La généralisation des systèmes de monitoring on-chain en temps réel (via des outils comme Forta ou Tenderly) permet de détecter des anomalies en quelques minutes. Les bug bounties permanents, avec des récompenses pouvant atteindre plusieurs millions de dollars pour les failles critiques, ont encouragé les chercheurs en sécurité à signaler plutôt qu’exploiter. Les audits de code continus, pas seulement avant le lancement, sont devenus une norme pour les protocoles de taille significative.
Sources
-
HACKS & SÉCURITÉPamStealer vole mots de passe, keychains et wallets crypto
-
HACKS & SÉCURITÉStep Finance : un hack de 21,4 M$ blanchis via Tornado Cash