Mango Markets Mangled от Oracle Manipulation за $112 милиона

Mango Markets, платформа за търговия с децентрализирано финансиране (DeFi) в блокчейна Solana, заяви във вторник, че разследва хак на стойност приблизително 112 милиона долара в цифрови активи.

Mango каза, че хакерът е успял да източи средства от платформата му, използвайки техника, известна като манипулиране на цените на оракула – форма на икономическа атака, която е удряла други DeFi протоколи преди.

Актьорът успя да изтегли различни цифрови активи — предимно стабилни монети, включително $53.7 милиона в USD Coin (USDC) и $3.2 милиона в Tether (USDT) — но също и solana (SOL).

В необичаен обрат, те са с предложение за връщане част от откраднатите средства, а именно Marinade staked solana (MSOL), дериват на залагане, роден SOL и собствен токен за управление на MNGO на платформата. Останалото виновникът претендира като „награда“.

Това е, разбира се, ако DAO общността на Mango гласува с „да“ за предложението на крадеца.

„Като гласуват за това предложение, притежателите на токени на манго се съгласяват да платят тази награда и да изплатят лошия дълг към хазната и се отказват от всякакви потенциални искове срещу сметки с лош дълг и няма да предприемат никакви наказателни разследвания или замразяване на средства, след като токените се изпращат обратно, както е описано по-горе,” написа нападателят на форума за управление на протокола.

Хакерът иска от Mango да използва хазната си от 70 милиона USDC за изплащане на „лош дълг“. Този дълг произтича от ан инцидент през юни, когато общността Mango се обединиха с друг базиран на Solana протокол за кредитиране и вземане на заеми, Solend, за справяне със системен риск, причинен от един-единствен голям кредитополучател, изложен на риск от ликвидация, което излага на опасност цялата екосистема Solana DeFi.

Mango DAO или стюардите на протокола също не трябва да провеждат никакви криминални разследвания или да замразяват средствата на нападателя — чрез централизирани стабилни монети като USDC и USDT — след като криптоактивите бъдат върнати.

Но не всички активи ще бъдат върнати; въпреки че не е дадена окончателна сума за наградата, може да се предположи от жетоните, пропуснати от първоначалния хак, че нападателят иска да задържи повече от половината от това, което е откраднал - значително повече от повечето хакери с "бели шапки" или ловци на бъгове обикновено получават.

Все пак членовете на Mango DAO досега са гласували в подкрепа на предложението на хакера, с 99.9% процент „да“ от приблизително 33 милиона MNGO токена – въпреки че само един адрес на портфейл е отговорен за лъвския дял от гласуването. Що се отнася до DAO, този е изключително централизиран, като повечето гласувания за управление се решават само от няколко адреса.

Необходими са още 67 милиона гласа „за“, за да може предложението да премине прага за кворум по време на тридневния период на гласуване.

Оракулска манипулация на цената

Докато консултацията и разследването продължават, стюардите на платформата поискаха от потребителите да спрат да депозират активи, докато ситуацията не стане по-ясна.

Приложенията за заемане и заемане разчитат на оракули, за да изтеглят данни във веригата за конкретни токени. Манипулация възниква, когато протоколи като емисии на данни са повредени, което позволява транзакции, които не са били предвидени.

В случая с Mango, нападателят е успял да манипулира тяхната стойност на обезпечението чрез платформата, преди да вземе „огромни заеми“ на обща стойност $112,199,876 от касата на Mango, фирмата за одит на сигурността OtterSec съобщи на Twitter.

Основателят на OtterSec Робърт Чен потвърди цифрата пред Blockworks, който каза, че се предполага, че манипулирането на цените се е случило на централизирани борси, които Mango използва, за да посочи стойността на обезпечението.

Цената на MNGO за кратко скочи с около 300% до $0.15 в рамките на 10 минути на борсата FTX, след което падна с 88% до под $0.02 след атаката.

Разработчикът на Solana Том Гешури беше признат за първия, който обърна внимание на хака на фирмата за одит на сигурността.

Гешури каза на Blockworks, че хакерът е използвал 10 милиона долара за самостоятелна търговия с постоянни договори на Mango и след това около 3 милиона долара, за да увеличи цената на MNGO и да изпълни плана, преди участниците на пазара да разберат схемата и да започнат да изхвърлят своите токени.

Малко след публикацията на OtterSec в Twitter, Mango пусна изявление, в което се казва, че предприемат стъпки, за да накарат трети страни да замразят средства в полет.

„Ние ще деактивираме депозитите на предния край като предпазна мярка и ще ви държим в течение с развитието на ситуацията“, групата каза през Twitter.

Blockworks се опита да се свърже с няколко администратори на канала Mango Discord, но не успя.

Редица протоколи бяха засегнати от подобни атаки само тази година, включително DeFi платформата Inverse Finance for 5.8 милиона долара през юни и платформа за кредитиране на стабилни монети Fortress Protocol за 3 милиона долара през май.

Атаката срещу Mango идва по-малко от седмица, след като собствената мрежа на Binance, BNB Chain, беше насочена за стотици милиони долари чрез експлойт на кръстосана верига мост. Откраднатата сума е била съдържаше около 100 милиона долара.

Посетете DAS: ЛОНДОН и чуйте как най-големите TradFi и крипто институции виждат бъдещето на институционалното приемане на крипто. Регистрирам тук.