18. října byl Moola Market – slušně velká platforma pro půjčování kryptoměn – zneužíván prostřednictvím cenové manipulace jeho nativního tokenu MOO, který má relativně nízkou likviditu. CELO – ekosystém, jehož je Moola Markets součástí – však nikoli.
Tento exploit byl svou povahou podobný nedávnému fiasku Mango Markets, protože útočník použil nativní token platformy s nízkou likviditou k provedení řady neobvyklých obchodů, které sice nejsou technicky nelegální, ale představují zneužití platformy.
Cena MOO vzrostla o 6,400 XNUMX %
Aby útočník vygeneroval obrovskou výplatu, koupil MOO v hodnotě asi 45 XNUMX $, které byly poté složeny jako záruka za půjčení CELO od platformy. Zatím nic neobvyklého. Útočník však použil vypůjčené CELO k nákupu dalšího MOO.
Tato střídavá rekurze nákupu jednoho tokenu a jeho použití jako kolaterálu pro druhý se několikrát opakovala. Pokud by toto úsilí bylo provedeno se dvěma tokeny vysoké likvidity, dopady na jejich ceny by byly zanedbatelné.
Jelikož je však MOO token s velmi nízkou likviditou, neustálý nákup MOO byl blockchainem vnímán jako náhlý zájem o token, který vyhnal cenu nahoru o závratných 6,400 XNUMX %. Tým v Moole si té neplechy rychle všiml.
Incident aktivně vyšetřujeme @Moola_Market. Veškerá aktivita na Moole byla pozastavena. Neobchodujte s mTokeny.
Vykořisťovateli jsme kontaktovali orgány činné v trestním řízení a podnikli kroky ke ztížení likvidace finančních prostředků. Jsme ochotni se domluvit na…
— Moola Market 🐮 (@Moola_Market) Října 18, 2022
Bohužel, v době, kdy si všimli podnikavého obchodníka, který projevil o token nepřiměřený zájem, byl útočník schopen manipulovat s cenou MOO dostatečně vysoko, aby nakoupil MOO v celkové hodnotě 1.2 milionu $, 740 644 EUR CELO EUR ( cEUR), 6.6 9.1 USD CELO USD (cUSD) a CELO v hodnotě 45 milionu USD. Celkem bylo vypůjčeno přibližně XNUMX milionu dolarů, počínaje počátečním vkladem XNUMX tisíc dolarů.
Zpět na trať
Jakmile si vývojáři Moola všimli obchodů, okamžitě se obrátili na útočníka přes Twitter a slíbili právní kroky, pokud nebudou peníze vráceny do 24 hodin. Je důležité poznamenat, že platforma by měla omezené právní možnosti v případě, že by útočník odmítl.
Zdá se však, že obě strany dosáhly dohody poměrně rychle.
„Po dnešním incidentu bylo 93.1 % finančních prostředků vráceno multi-sig správě Moola. Pokračovali jsme v pozastavení všech aktivit na Moole a budeme se s komunitou informovat o dalších krocích a bezpečném restartu provozu protokolu Moola.“
Zdá se, že zbývajících 500 1,000 $ představuje odměnu za chybu pro podnikavého útočníka – mnohem menší částku, než původně vydělal, ale přesto návratnost 45 XNUMX %+ z jeho původní investice XNUMX XNUMX $.
Binance zdarma 100 $ (exkluzivně): Použijte tento odkaz zaregistrovat se a získat 100 $ zdarma a 10% slevu na poplatky na Binance Futures první měsíc (podmínky).
Speciální nabídka PrimeXBT: Použijte tento odkaz registrujte se a zadejte kód POTATO50, abyste získali až 7,000 XNUMX $ na své vklady.
Zdroj: https://cryptopotato.com/making-500k-in-a-day-moola-market-hacker-gets-a-bounty-and-returns-stolen-funds/