Рынкі Mango сапсаваны маніпуляцыямі Oracle за 112 мільёнаў долараў

Mango Markets, дэцэнтралізаваная фінансавая (DeFi) гандлёвая платформа на блокчейне Solana, заявіла ў аўторак, што расследуе ўзлом лічбавых актываў на суму каля 112 мільёнаў долараў.

Mango сказаў, што хакер змог зліць сродкі з яго платформы, выкарыстоўваючы тэхніку, вядомую як маніпуляцыя цэнамі на аракуле - форму эканамічнай атакі, якая раней закранала іншыя пратаколы DeFi.

Акцёру ўдалося вывесці розныя лічбавыя актывы — у асноўным стейблкойны, у тым ліку 53.7 мільёна долараў у манетах USD (USDC) і 3.2 мільёна долараў у Tether (USDT), — але таксама салану (SOL).

У незвычайным павароце яны з прапановай вярнуцца частка выкрадзеных сродкаў, а менавіта Marinade staked solana (MSOL), вытворны стэкінг, уласны SOL і ўласны токен кіравання MNGO платформы. Астатняе вінаваты прэтэндуе ў якасці ўзнагароды.

Гэта, вядома, калі супольнасць DAO Mango прагаласуе за прапанову злодзея.

«Галасуючы за гэтую прапанову, уладальнікі токенаў mango згаджаюцца выплаціць гэтую прэмію і пагасіць безнадзейную запазычанасць у казначэйстве, адмаўляюцца ад любых патэнцыйных прэтэнзій да рахункаў з безнадзейнай запазычанасцю і не будуць распачынаць крымінальныя расследаванні або замарожваць сродкі пасля таго, як токены адпраўляюцца назад, як апісана вышэй, - напісаў зламыснік на форуме кіравання пратаколам.

Хакер просіць Mango выкарыстаць сваю казну ў памеры 70 мільёнаў долараў ЗША для пагашэння «дрэннай запазычанасці». Гэты доўг паходзіць ад інцыдэнт у чэрвені, калі супольнасць Mango аб'яднаўся з іншым пратаколам крэдытавання і запазычання на аснове Solana, Solend, для барацьбы з сістэмнай рызыкай, выкліканай адзіным буйным пазычальнікам, якому пагражае ліквідацыя, што паставіла пад пагрозу ўсю экасістэму Solana DeFi.

Mango DAO або сцюарды пратаколу таксама не павінны распачынаць крымінальныя расследаванні або замарожваць сродкі зламысніка — праз цэнтралізаваныя стабільныя манеты, такія як USDC і USDT — пасля вяртання крыптаактываў.

Але не ўсе актывы будуць вернутыя; у той час як канчатковая сума ўзнагароджання не была дадзена, можна выказаць здагадку з токенаў, прапушчаных пры першапачатковым узломе, што зламыснік просіць захаваць больш за палову таго, што яны скралі - значна больш, чым большасць хакераў з «белымі капелюшамі» або паляўнічыя за галовамі памылак звычайна атрымліваюць.

Тым не менш, члены Mango DAO да гэтага часу прагаласавалі за прапанову хакера, з паказчыкам "так" у 99.9% з прыкладна 33 мільёнаў токенаў MNGO - хоць толькі адзін адрас кашалька адказвае за ільвіную долю галасоў. Што тычыцца DAO, гэты вельмі цэнтралізаваны, большасць галасоў па кіраванні вырашаецца толькі па некалькіх адрасах.

Яшчэ 67 мільёнаў галасоў "за" неабходныя, каб прапанова пераадолела парог кворуму на працягу трохдзённага перыяду галасавання.

Маніпуляцыя цэнавым аракулам

Пакуль кансультацыі і расследаванне працягваюцца, сцюарды платформы папрасілі карыстальнікаў спыніць дэпазіт актываў, пакуль сітуацыя не стане больш зразумелай.

Праграмы для запазычання і пазыкі абапіраюцца на аракулы для атрымання даных у ланцужку для пэўных токенаў. Маніпуляцыі адбываюцца, калі пратаколы, такія як каналы даных, пашкоджваюцца, дазваляючы непрадбачаныя транзакцыі.

У выпадку з Mango зламыснік змог маніпуляваць коштам закладу праз платформу, перш чым узяць «вялізныя пазыкі» на агульную суму 112,199,876 XNUMX XNUMX долараў ад казначэйства Mango, аўдытарскай фірмы бяспекі Пра гэта паведамляе OtterSec на Twitter.

Заснавальнік OtterSec Роберт Чэн пацвердзіў гэтую лічбу Blockworks, які сказаў, што падазрэнне, што маніпуляцыі цэнамі адбываліся на цэнтралізаваных біржах, якія Mango выкарыстоўваў для спасылкі на кошт закладу.

Кошт MNGO ненадоўга падскочыў прыкладна на 300% да 0.15 даляра на працягу 10 хвілін на біржы FTX, а затым упаў на 88% да менш чым 0.02 даляра пасля атакі.

Распрацоўшчык Solana Том Гешуры быў першым, хто звярнуў увагу на ўзлом аўдытарскай фірмы бяспекі.

Гешуры распавёў Blockworks, што хакер выкарыстаў 10 мільёнаў долараў для самастойнага гандлю бестэрміновымі кантрактамі Mango, а затым, паводле ацэнак, 3 мільёны долараў, каб павялічыць цану MNGO і выканаць план, перш чым удзельнікі рынку даведаліся пра схему і пачалі выкідваць свае токены.

Неўзабаве пасля паведамлення OtterSec у Twitter Mango апублікавала заяву, у якой гаворыцца, што яны прымаюць меры, каб трэція бакі замарозілі сродкі падчас палёту.

«У якасці меры засцярогі мы адключым дэпазіты на інтэрфейсе і будзем трымаць вас у курсе па меры развіцця сітуацыі», — гаворыцца ў паведамленні групы. сказаў праз Twitter.

Кампанія Blockworks спрабавала звязацца з некалькімі адміністратарамі на канале Mango Discord, але беспаспяхова.

Шэраг пратаколаў падвергліся такім атакам толькі ў гэтым годзе, у тым ліку платформа DeFi Inverse Finance for $ 5.8 мільёнаў у чэрвені і платформа крэдытавання стейблкойнаў Fortress Protocol для $ 3 мільёнаў ў траўні.

Атака на Mango адбылася менш чым праз тыдзень пасля таго, як уласная сетка Binance, BNB Chain, была мішэнню сотні мільёнаў даляраў праз эксплойт міжланцуговага моста. Сума скрадзенага склала складала каля 100 мільёнаў долараў.

чакае DAS: ЛОНДАН і пачуйце, як найбуйнейшыя TradFi і крыптаінстытуцыі бачаць будучыню ўкаранення крыпта ў інстытуцыях. Зарэгіструйцеся тут.