- Mango investighează în prezent o exploatare a fluxurilor de prețuri Oracle pentru propriul token de guvernare
- Hackerul responsabil le cere membrilor DAO să voteze o propunere care ar returna o parte din fondurile furate.
Mango Markets, o platformă de tranzacționare financiară descentralizată (DeFi) pe blockchain-ul Solana, a declarat marți că investighează un hack în valoare de aproximativ 112 milioane de dolari în active digitale.
Mango a spus că hackerul a reușit să scurgă fonduri din platforma sa utilizând o tehnică cunoscută sub numele de manipulare a prețului oracol - o formă de atac economic care a lovit și alte protocoale DeFi înainte.
Actorul a reușit să retragă diverse active digitale – în principal monede stabile, inclusiv 53.7 milioane USD în USD Coin (USDC) și 3.2 milioane USD în Tether (USDT) – dar și solana (SOL).
Într-o întorsătură neobișnuită, sunt propunând să se întoarcă o parte din fondurile furate, și anume Marinade staked solana (MSOL), un derivat de staking, SOL nativ și propriul token de guvernare MNGO al platformei. Restul, vinovatul le pretinde drept „recompensă”.
Asta, desigur, dacă comunitatea DAO a lui Mango votează da propunerii hoțului.
„Prin votul pentru această propunere, deținătorii de jetoane mango sunt de acord să plătească această recompensă și să plătească datoria neperformantă cu trezoreria și să renunțe la orice potențiale pretenții împotriva conturilor cu datorii neperformante și nu vor continua nicio investigație penală sau înghețarea fondurilor odată ce jetoanele au primit. sunt trimise înapoi așa cum este descris mai sus,” a scris atacatorul pe forumul de guvernare al protocolului.
Hackerul îi cere lui Mango să-și folosească trezoreria de 70 de milioane USDC pentru a rambursa „datoria neperformantă”. Această datorie derivă dintr-un incident în iunie când comunitatea Mango colaborați cu un alt protocol de creditare și împrumut bazat pe Solana, Solend, pentru a face față unui risc sistemic cauzat de un singur mare împrumutat, aflat în pericol de lichidare, care pune în pericol întregul ecosistem Solana DeFi.
De asemenea, Mango DAO, sau administratorii protocolului, nu ar trebui să urmărească nicio investigație penală sau să înghețe fondurile atacatorului - prin stablecoins centralizate precum USDC și USDT - odată ce criptoactivele sunt returnate.
Dar nu toate bunurile vor fi returnate; deși nu a fost acordată o sumă definitivă pentru recompensă, se poate presupune din jetoanele omise din hack-ul inițial că atacatorul solicită să păstreze mai mult de jumătate din ceea ce a furat - substanțial mai mult decât majoritatea hackerilor de tip „pălărie albă” sau vânători de recompense de obicei primesc.
Cu toate acestea, membrii Mango DAO au votat până acum în favoarea propunerii hackerului, cu o rată de 99.9% da de la aproximativ 33 de milioane de jetoane MNGO - deși doar o singură adresă de portofel este responsabilă pentru partea leului din vot. În ceea ce privește DAO, acesta este extrem de centralizat, majoritatea voturilor de guvernare fiind decise de doar câteva adrese.
Sunt necesare încă 67 de milioane de voturi pentru pentru ca propunerea să treacă un prag de cvorum în perioada de trei zile de vot.
Manipularea oracolului prețului
În timp ce consultările și investigațiile continuă, administratorii platformei au cerut utilizatorilor să înceteze depunerea de active până când situația devine mai clară.
Împrumutul și împrumutul dapps se bazează pe oracole pentru a extrage date în lanț pentru anumite jetoane. Manipularea are loc atunci când protocoalele, astfel de fluxuri de date sunt corupte, permițând tranzacții care nu au fost destinate.
În cazul lui Mango, atacatorul a putut să-și manipuleze valoarea garanției prin intermediul platformei înainte de a lua „împrumuturi masive” în valoare totală de 112,199,876 USD de la trezoreria Mango, firma de audit de securitate. OtterSec a raportat pe Twitter.
Fondatorul OtterSec, Robert Chen, a confirmat cifra pentru Blockworks, care a spus că manipularea prețurilor a fost suspectată că a avut loc pe bursele centralizate pe care Mango le-a folosit pentru a face referire la valoarea garanției.
Prețul MNGO a crescut pentru scurt timp cu aproximativ 300% la 0.15 USD în spațiul de 10 minute pe schimbul FTX, apoi a scăzut cu 88% la sub 0.02 USD în urma atacului.
Dezvoltatorul Solana, Tom Geshury, a fost creditat că a fost primul care a adus hack-ul în atenția firmei de audit de securitate.
Geshury a declarat pentru Blockworks că hackerul a folosit 10 milioane de dolari pentru a auto-comerțează contracte perpetue cu Mango și apoi aproximativ 3 milioane de dolari pentru a pompa prețul ONG-urilor și a executa planul, înainte ca participanții de pe piață să dezvăluie schema și să înceapă să-și arunce jetoanele.
La scurt timp după postarea lui OtterSec pe Twitter, Mango a lansat o declarație în care spune că iau măsuri pentru ca terții să înghețe fondurile în zbor.
„Vom dezactiva depozitele pe front-end ca măsură de precauție și vă vom ține la curent pe măsură ce situația evoluează”, grupul. a spus prin Twitter.
Blockworks a încercat să contacteze mai mulți administratori de pe canalul Mango Discord, dar nu a reușit.
O serie de protocoale au fost lovite de astfel de atacuri doar anul acesta, inclusiv platforma DeFi Inverse Finance pentru $ 5.8 de milioane de în iunie și platforma de creditare stablecoin Fortress Protocol pentru $ 3 de milioane de în Mai.
Atacul împotriva lui Mango vine la mai puțin de o săptămână după ce propria rețea a lui Binance, BNB Chain, a fost vizată pentru sute de milioane de dolari printr-o exploatare cross-chain bridge. Suma furată a fost cuprins la aproximativ 100 de milioane de dolari.
A se prezenta, frecventa DAS: LONDRA și auziți cum văd cele mai mari instituții TradFi și crypto viitorul adoptării instituționale a cripto. Inregistreaza-te aici.
Sursa: https://blockworks.co/mango-markets-mangled-by-oracle-manipulation-for-112m/