Mango Markets rozbité Oracle Manipulation za 112 milionů $

Mango Markets, decentralizovaná finanční obchodní platforma (DeFi) na blockchainu Solana, v úterý uvedla, že vyšetřuje hack v hodnotě přibližně 112 milionů dolarů v digitálních aktivech.

Mango uvedl, že hacker byl schopen odčerpat finanční prostředky ze své platformy pomocí techniky známé jako věštecká cenová manipulace – forma ekonomického útoku, která již dříve zasáhla jiné protokoly DeFi.

Herci se podařilo stáhnout různá digitální aktiva — většinou stablecoiny, včetně 53.7 milionů dolarů v USD Coin (USDC) a 3.2 milionů dolarů v Tetheru (USDT) — ale také solanu (SOL).

V neobvyklém zvratu jsou navrhuje vrátit se část odcizených prostředků, jmenovitě Marinade staked solana (MSOL), sázkový derivát, nativní SOL a vlastní token MNGO governance platformy. Zbytek viník tvrdí jako „odměnu“.

To je samozřejmě v případě, že komunita Mango DAO bude hlasovat pro zlodějův návrh.

„Hlasováním pro tento návrh držitelé mangových tokenů souhlasí s vyplacením této odměny a splacením nedobytného dluhu u státní pokladny a vzdávají se jakýchkoli potenciálních nároků na účty s nedobytnými dluhy a nebudou pokračovat v žádném trestním vyšetřování nebo zmrazení finančních prostředků, jakmile budou tokeny jsou odeslány zpět, jak je popsáno výše,“ napsal útočník na fóru pro správu protokolu.

Hacker požaduje, aby Mango použilo své pokladniční zásoby ve výši 70 milionů USDC na splacení „špatného dluhu“. Tento dluh pochází z an incident v červnu, kdy komunita Mango se spojili s dalším protokolem pro půjčování a půjčování Solend, Solend, k řešení systémového rizika způsobeného jediným velkým dlužníkem, kterému hrozí likvidace, což ohrozilo celý ekosystém Solana DeFi.

Mango DAO, neboli správci protokolu, by také neměli provádět žádné trestní vyšetřování nebo zmrazit útočníkovy finanční prostředky – prostřednictvím centralizovaných stablecoinů, jako jsou USDC a USDT – jakmile budou kryptoaktiva vrácena.

Ale ne všechna aktiva budou vrácena; i když nebyla dána definitivní částka za odměnu, lze z tokenů vynechaných z počátečního hacku usuzovat, že útočník požaduje, aby si ponechal více než polovinu toho, co ukradl – podstatně více než většina hackerů s „white hat“ nebo lovci odměn chyb obvykle přijímat.

Přesto členové Mango DAO zatím hlasovali pro návrh hackera, s 99.9% ano ze zhruba 33 milionů tokenů MNGO – ačkoli lví podíl na hlasování má na svědomí pouze jediná adresa peněženky. Za chodu DAO je tento extrémně centralizovaný, přičemž o většině hlasů o správě rozhoduje jen hrstka adres.

K tomu, aby návrh během třídenního období hlasování prošel prahem kvóra, je zapotřebí dalších 67 milionů hlasů pro.

Manipulace s cenovým orákulem

Zatímco konzultace a vyšetřování pokračují, správci platformy požádali uživatele, aby přestali vkládat aktiva, dokud se situace nevyjasní.

Dapps půjčování a půjčování spoléhají na věštce při získávání dat z řetězce pro konkrétní tokeny. K manipulaci dochází, když jsou protokoly takových datových zdrojů poškozeny, což umožňuje transakce, které nebyly zamýšleny.

V případě Manga byl útočník schopen manipulovat s jejich hodnotou kolaterálu prostřednictvím platformy, než si vzal „masivní půjčky“ v celkové výši 112,199,876 XNUMX XNUMX $ z pokladny Mango, společnosti zabývající se auditem bezpečnosti. Informoval o tom OtterSec na Twitteru.

Zakladatel společnosti OtterSec Robert Chen toto číslo potvrdil Blockworks, který uvedl, že k cenové manipulaci mělo dojít na centralizovaných burzách, které Mango použilo k referenční hodnotě kolaterálu.

Cena MNGO během 300 minut na burze FTX krátce vyskočila o 0.15 % na 10 USD, poté po útoku klesla o 88 % pod 0.02 USD.

Vývojáři společnosti Solana Tom Geshury se připisovali zásluhy za to, že byl prvním, kdo na tento hack upozornil bezpečnostní auditorskou firmu.

Geshury řekl Blockworks, že hacker použil 10 milionů dolarů k vlastnímu obchodování s trvalými kontrakty Mango a poté odhadem 3 miliony dolarů na pumpování ceny MNGO a realizaci plánu, než se účastníci trhu dozvěděli o schématu a začali ukládat své tokeny.

Krátce po příspěvku OtterSec na Twitteru vydala společnost Mango prohlášení, že podniká kroky k tomu, aby třetí strany zmrazily finanční prostředky za letu.

„Preventivně deaktivujeme vklady na frontendu a budeme vás informovat, jak se situace bude vyvíjet,“ skupina řekl přes Twitter.

Blockworks se pokusil kontaktovat několik administrátorů na kanálu Mango Discord, ale neúspěšně.

Jen v tomto roce bylo takovými útoky zasaženo několik protokolů, včetně platformy DeFi Inverse Finance for 5.8 milionu $ v červnu a platforma pro půjčování stablecoinů Fortress Protocol pro 3 milionu $ v květnu.

Útok na Mango přichází necelý týden poté, co byla zaměřena na vlastní síť Binance, BNB Chain. stovky milionů dolarů prostřednictvím využití křížového mostu. Ukradená částka byla obsahovala asi 100 milionů dolarů.

Zúčastnit se DAS: LONDÝN a poslechněte si, jak největší TradFi a krypto instituce vidí budoucnost institucionálního přijetí kryptoměn. Registrovat zde.