- Mango onderzoekt momenteel een exploit van de orakelprijsfeeds voor zijn eigen governance-token
- De verantwoordelijke hacker vraagt DAO-leden om te stemmen over een voorstel dat een deel van het gestolen geld zou teruggeven
Mango Markets, een gedecentraliseerd financieel (DeFi) handelsplatform op de Solana-blockchain, zei dinsdag dat het een hack aan het onderzoeken was ter waarde van ongeveer $ 112 miljoen aan digitale activa.
Mango zei dat de hacker in staat was geld van zijn platform af te tappen met behulp van een techniek die bekend staat als orakelprijsmanipulatie - een vorm van economische aanval die eerder andere DeFi-protocollen heeft getroffen.
De acteur slaagde erin verschillende digitale activa op te nemen - meestal stablecoins, waaronder $ 53.7 miljoen in USD Coin (USDC) en $ 3.2 miljoen in Tether (USDT) - maar ook solana (SOL).
In een ongewone draai zijn ze voorstellen om terug te keren een deel van het gestolen geld, namelijk Marinade staked solana (MSOL), een stakingderivaat, native SOL en het eigen MNGO-governancetoken van het platform. De rest claimt de schuldige als een 'bounty'.
Tenminste, als de DAO-gemeenschap van Mango ja stemt op het voorstel van de dief.
"Door voor dit voorstel te stemmen, stemmen houders van mango-tokens ermee in om deze premie te betalen en de dubieuze schulden af te betalen met de schatkist, en af te zien van mogelijke claims op accounts met oninbare schulden, en zullen ze geen strafrechtelijk onderzoek of bevriezing van fondsen voortzetten zodra de tokens worden teruggestuurd zoals hierboven beschreven,” de aanvaller schreef: op het bestuursforum van het protocol.
De hacker vraagt Mango om zijn schatkist van 70 miljoen USDC te gebruiken om 'slechte schulden' terug te betalen. Deze schuld vloeit voort uit een incident in juni, toen de Mango-gemeenschap vormden een team met een ander op Solana gebaseerd leen- en leenprotocol, Solend, om een systeemrisico aan te pakken dat wordt veroorzaakt door een enkele grote lener die het risico loopt te worden geliquideerd, waardoor het hele Solana DeFi-ecosysteem in gevaar komt.
De Mango DAO, of beheerders van het protocol, mogen ook geen strafrechtelijk onderzoek uitvoeren of de fondsen van de aanvaller bevriezen - via gecentraliseerde stablecoins zoals USDC en USDT - zodra de cryptoassets zijn teruggegeven.
Maar niet alle activa worden teruggegeven; hoewel er geen definitief bedrag voor de premie werd gegeven, kan worden aangenomen dat de tokens die zijn weggelaten uit de eerste hack, de aanvaller vraagt om meer dan de helft van wat ze hebben gestolen te behouden - aanzienlijk meer dan de meeste "white hat" hackers of bug premiejagers doorgaans ontvangen.
Toch hebben Mango DAO-leden tot nu toe voor het voorstel van de hacker gestemd, met een ja-percentage van 99.9% van ongeveer 33 miljoen MNGO-tokens - hoewel slechts een enkel portemonnee-adres verantwoordelijk is voor het leeuwendeel van de stemmen. Zoals het gaat met DAO, is deze extreem gecentraliseerd, waarbij de meeste bestuursstemmen worden beslist door slechts een handvol adressen.
Er zijn nog eens 67 miljoen ja-stemmen nodig om het voorstel tijdens de stemperiode van drie dagen de quorumdrempel te laten halen.
Prijs orakel manipulatie
Terwijl het overleg en het onderzoek doorgaan, hebben de stewards van het platform gebruikers gevraagd om te stoppen met het storten van activa totdat de situatie duidelijker wordt.
Dapps lenen en uitlenen zijn afhankelijk van orakels om on-chain-gegevens voor specifieke tokens op te halen. Manipulatie vindt plaats wanneer protocollen zoals datafeeds zijn beschadigd, waardoor transacties mogelijk zijn die niet bedoeld waren.
In het geval van Mango was de aanvaller in staat om hun onderpandwaarde via het platform te manipuleren voordat hij "enorme leningen" aanging van in totaal $ 112,199,876 van Mango's schatkist, beveiligingsauditbedrijf OtterSec gerapporteerd te volgen op Twitter.
OtterSec-oprichter Robert Chen bevestigde het cijfer aan Blockworks, die zei dat de prijsmanipulatie werd vermoed te hebben plaatsgevonden op gecentraliseerde beurzen die Mango gebruikte om de waarde van het onderpand te verwijzen.
De prijs van MNGO steeg kort met ongeveer 300% tot $ 0.15 in een tijdsbestek van 10 minuten op de FTX-beurs, en daalde vervolgens met 88% tot minder dan $ 0.02 na de aanval.
Solana-ontwikkelaar Tom Geshury werd gecrediteerd als de eerste die de hack onder de aandacht van het beveiligingsauditbureau bracht.
Geshury vertelde Blockworks dat de hacker $ 10 miljoen gebruikte om Mango eeuwigdurende contracten zelf te verhandelen en vervolgens naar schatting $ 3 miljoen om de prijs van MNGO op te pompen en het plan uit te voeren, voordat marktdeelnemers lucht kregen van het plan en hun tokens begonnen te dumpen.
Kort na de Twitter-post van OtterSec bracht Mango een verklaring uit waarin stond dat ze stappen ondernamen om derden tegoeden tijdens de vlucht te laten bevriezen.
"We zullen uit voorzorg deposito's aan de voorkant uitschakelen en zullen u op de hoogte houden naarmate de situatie evolueert", zegt de groep. zei via Twitter.
Blockworks heeft geprobeerd contact op te nemen met verschillende beheerders op het Mango Discord-kanaal, maar dit is niet gelukt.
Alleen al dit jaar zijn een aantal protocollen getroffen door dergelijke aanvallen, waaronder het DeFi-platform Inverse Finance voor $ 5.8 miljoen in juni en stablecoin-uitleenplatform Fortress Protocol for $ 3 miljoen in mei.
De aanval op Mango komt minder dan een week nadat het eigen netwerk van Binance, BNB Chain, het doelwit was van honderden miljoenen dollars via een cross-chain bridge exploit. Het gestolen bedrag was bevatte tot ongeveer $ 100 miljoen.
Bijwonen DAS:LONDEN en hoor hoe de grootste TradFi- en crypto-instellingen de toekomst zien van de institutionele acceptatie van crypto. Register hier.
Bron: https://blockworks.co/mango-markets-mangled-by-oracle-manipulation-for-112m/