- Mango bada obecnie wykorzystanie danych z cenami wyroczni dla własnego tokena zarządzania
- Odpowiedzialny haker prosi członków DAO o głosowanie nad propozycją zwrotu części skradzionych środków
Mango Markets, zdecentralizowana platforma handlowa finansów (DeFi) działająca na blockchainie Solana, poinformowała we wtorek, że prowadzi śledztwo w sprawie włamania o wartości około 112 milionów dolarów w aktywach cyfrowych.
Mango powiedział, że haker był w stanie wydrenować fundusze ze swojej platformy, wykorzystując technikę znaną jako manipulacja cenami wyroczni – forma ataku ekonomicznego, która wcześniej uderzyła w inne protokoły DeFi.
Aktorowi udało się wycofać różne aktywa cyfrowe – głównie stablecoiny, w tym 53.7 mln USD w USDC (USDC) i 3.2 mln USD w Tether (USDT) – ale także solanę (SOL).
W niezwykłym skręcie, są proponując powrót część skradzionych środków, a mianowicie Marinade postawiona solana (MSOL), instrument pochodny do stakowania, natywny SOL i własny token zarządzania MNGO platformy. Resztę sprawca twierdzi jako „nagrodę”.
To znaczy, oczywiście, jeśli społeczność DAO Mango zagłosuje tak na propozycję złodzieja.
„Głosując za tą propozycją, posiadacze tokenów mango zgadzają się zapłacić tę nagrodę i spłacić zły dług w skarbcu oraz zrzekać się wszelkich potencjalnych roszczeń wobec kont ze złym długiem i nie będą prowadzić żadnych dochodzeń karnych ani zamrożenia funduszy po zdobyciu tokenów są odsyłane w sposób opisany powyżej”, napisał napastnik na forum zarządzania protokołem.
Haker prosi Mango o wykorzystanie swojego skarbca w wysokości 70 milionów dolarów amerykańskich na spłatę „złego długu”. Dług ten pochodzi z incydent w czerwcu, kiedy społeczność Mango nawiązał współpracę z innym protokołem pożyczek i pożyczek opartym na Solanie, Solend, aby poradzić sobie z ryzykiem systemowym spowodowanym przez jednego dużego pożyczkobiorcę, zagrożonego likwidacją, co naraziło cały ekosystem Solana DeFi na niebezpieczeństwo.
Mango DAO, czyli zarządcy protokołu, nie powinni również prowadzić żadnych dochodzeń kryminalnych ani zamrażać środków atakującego – za pośrednictwem scentralizowanych stablecoinów, takich jak USDC i USDT – po zwrocie kryptowalut.
Ale nie wszystkie aktywa zostaną zwrócone; chociaż nie podano ostatecznej kwoty nagrody, można założyć, że na podstawie tokenów pominiętych podczas pierwszego włamania napastnik prosi o zatrzymanie znacznie ponad połowy tego, co ukradł — znacznie więcej niż większość hakerów „białych kapeluszy” lub łowcy nagród za robaki zazwyczaj otrzymują.
Mimo to członkowie Mango DAO do tej pory głosowali za propozycją hakera, z 99.9% odsetkiem tak z około 33 milionów tokenów MNGO – chociaż tylko jeden adres portfela odpowiada za lwią część głosów. W miarę rozwoju DAO ten jest niezwykle scentralizowany, a większość głosów dotyczących zarządzania decyduje zaledwie garstka adresów.
Aby wniosek przekroczył próg kworum podczas trzydniowego okresu głosowania, potrzeba dalszych 67 milionów głosów „za”.
Manipulacja ceną wyroczni
Podczas gdy konsultacje i dochodzenie trwają, stewardzi platformy poprosili użytkowników o zaprzestanie deponowania aktywów do czasu, gdy sytuacja stanie się jaśniejsza.
Pożyczanie i pożyczanie dappów polega na wyroczniach, które pobierają dane z łańcucha dla określonych tokenów. Manipulacja ma miejsce, gdy protokoły, takie jak źródła danych, są uszkodzone, umożliwiając transakcje, które nie były zamierzone.
W przypadku Mango atakujący był w stanie manipulować wartością zabezpieczenia za pośrednictwem platformy, zanim zaciągnął „ogromne pożyczki” na łączną kwotę 112,199,876 XNUMX XNUMX USD od skarbca Mango, firmy audytorskiej ds. bezpieczeństwa Zgłoszono OtterSec na Twitterze.
Założyciel OtterSec, Robert Chen, potwierdził te dane Blockworks, który powiedział, że manipulacja cenami miała miejsce na scentralizowanych giełdach, których Mango używał do odnoszenia się do wartości zabezpieczenia.
Cena MNGO na krótko wzrosła o 300% do 0.15 USD w ciągu 10 minut na giełdzie FTX, a następnie po ataku spadła o 88% do poziomu poniżej 0.02 USD.
Programista Solana, Tom Geshury, był uważany za pierwszego, który zwrócił uwagę na włamanie do firmy audytorskiej.
Geshury powiedział Blockworks, że haker wykorzystał 10 milionów dolarów do samodzielnego handlu wieczystymi kontraktami Mango, a następnie szacuje się, że 3 miliony dolarów na pompowanie ceny MNGO i wykonanie planu, zanim uczestnicy rynku zorientowali się w programie i zaczęli zrzucać swoje tokeny.
Krótko po wpisie OtterSec na Twitterze Mango opublikowało oświadczenie, że podejmuje kroki, aby osoby trzecie zamroziły fundusze w locie.
„Będziemy wyłączać depozyty na froncie jako środek ostrożności i będziemy Cię informować w miarę rozwoju sytuacji” – grupa powiedział za pośrednictwem Twittera.
Blockworks próbował skontaktować się z kilkoma administratorami na kanale Mango Discord, ale nie powiodło się.
Kilka protokołów zostało dotkniętych takimi atakami tylko w tym roku, w tym platforma DeFi Inverse Finance for $ 5.8 mln w czerwcu i platformę pożyczkową stablecoin Fortress Protocol dla $ 3 mln w maju.
Atak na Mango ma miejsce niecały tydzień po tym, jak własna sieć Binance, BNB Chain, została zaatakowana setki milionów dolarów poprzez wykorzystanie mostu cross-chain. Skradziona kwota była zawarte do około 100 milionów dolarów.
Uczęszczać DAS: LONDYN i posłuchaj, jak największe instytucje TradFi i kryptowaluty widzą przyszłość instytucjonalnej adopcji kryptowalut. Zarejestrować tutaj.
Źródło: https://blockworks.co/mango-markets-mangled-by-oracle-manipulation-for-112m/