18 października Moola Market – platforma do pożyczania kryptowalut o przyzwoitej wielkości – została wykorzystana poprzez manipulację ceną swojego natywnego tokena, MOO, który ma stosunkowo niską płynność. Jednak CELO – ekosystem, którego częścią jest Moola Markets – nie.
Exploit miał podobny charakter do niedawnego fiaska Mango Markets, ponieważ osoba atakująca wykorzystała natywny token platformy o niskiej płynności do wykonania serii nietypowych transakcji, które choć nie są technicznie nielegalne, stanowią nadużycie platformy.
Cena MOO wzrosła o 6,400%
Aby wygenerować ogromną wypłatę, atakujący kupił MOO o wartości około 45 tysięcy dolarów, które następnie zostało odłożone jako zabezpieczenie pożyczenia CELO od platformy. Jak dotąd nic niezwykłego. Atakujący wykorzystał jednak pożyczonego CELO do zakupu kolejnych MOO.
Ta naprzemienna rekurencja kupowania jednego tokena i wykorzystywania go jako zabezpieczenia drugiego była powtarzana wielokrotnie. Gdyby to przedsięwzięcie zostało przeprowadzone z dwoma tokenami o wysokiej płynności, wpływ na ich ceny byłby znikomy.
Ponieważ jednak MOO jest tokenem o bardzo niskiej płynności, ciągłe kupowanie MOO było postrzegane przez blockchain jako nagłe zainteresowanie tokenem, podnosząc cenę o oszałamiające 6,400%. Zespół w Moola szybko zauważył psoty.
Aktywnie badamy incydent w sprawie @Moola_market. Cała aktywność na Moola została wstrzymana. Proszę nie handlować mTokenami.
Do wyzyskiwacza skontaktowaliśmy się z organami ścigania i podjęliśmy kroki, aby utrudnić likwidację środków. Jesteśmy gotowi negocjować…
— Rynek Moola 🐮 (@Moola_Market) 18 października 2022 r.
Niestety, zanim przedsiębiorczy przedsiębiorca zauważył nadmierne zainteresowanie tokenem, atakujący był w stanie manipulować ceną MOO wystarczająco wysoką, aby kupić MOO o łącznej wartości 1.2 miliona dolarów, czyli 740 tys. cEUR), 644 tys. USD CELO USD (cUSD) i CELO o wartości 6.6 mln USD. W sumie pożyczono około 9.1 miliona dolarów, zaczynając od początkowego depozytu w wysokości 45 tysięcy dolarów.
Powrót na właściwe tory
Gdy twórcy Moola zauważyli transakcje, natychmiast skontaktowali się z atakującym za pośrednictwem Twittera, obiecując podjęcie kroków prawnych, jeśli środki nie zostaną zwrócone w ciągu 24 godzin. Należy zauważyć, że platforma miałaby ograniczone środki prawne, gdyby atakujący odmówił.
Wydaje się jednak, że obie strony dość szybko osiągnęły porozumienie.
„Po dzisiejszym incydencie 93.1% funduszy zostało zwróconych do multi-sig zarządzania Moola. Nadal wstrzymywaliśmy wszelką aktywność w Moola i skontaktujemy się ze społecznością w sprawie kolejnych kroków i bezpiecznego ponownego uruchomienia operacji protokołu Moola.
Pozostałe 500 1,000 USD wydaje się stanowić nagrodę za błąd dla przedsiębiorczego atakującego – znacznie mniejszą sumę niż początkowo zarobili, ale mimo to ponad 45% zwrotu z pierwotnej inwestycji w wysokości XNUMX XNUMX USD.
Binance Free 100 $ (ekskluzywne): Użyj tego linku zarejestrować się i otrzymać 100 $ za darmo i 10% zniżki na opłaty na Binance Futures w pierwszym miesiącu (REGULAMIN).
Oferta specjalna PrimeXBT: Użyj tego linku aby się zarejestrować i wprowadzić kod POTATO50, aby otrzymać do 7,000 $ na swoje depozyty.
Źródło: https://cryptopotato.com/making-500k-in-a-day-moola-market-hacker-gets-a-bounty-and-returns-stolen-funds/