- Mango undersøger i øjeblikket en udnyttelse af orakelprisfeeds for sit eget styringstoken
- Den ansvarlige hacker beder DAO-medlemmer om at stemme om et forslag, der ville returnere en del af de stjålne midler
Mango Markets, en decentraliseret finanshandelsplatform (DeFi) på Solana blockchain, sagde tirsdag, at den efterforskede et hack til en værdi af cirka 112 millioner dollars i digitale aktiver.
Mango sagde, at hackeren var i stand til at dræne midler fra sin platform ved at bruge en teknik kendt som orakelprismanipulation - en form for økonomisk angreb, der har ramt andre DeFi-protokoller før.
Skuespilleren formåede at trække forskellige digitale aktiver tilbage - for det meste stablecoins, herunder $53.7 millioner i USD Coin (USDC) og $3.2 millioner i Tether (USDT) - men også solana (SOL).
I et usædvanligt twist er de foreslår at vende tilbage en del af de stjålne midler, nemlig Marinade staked solana (MSOL), et indsatsderivat, native SOL og platformens eget MNGO governance token. Resten hævder den skyldige som en "dusør".
Det er selvfølgelig, hvis Mangos DAO-fællesskab stemmer ja til tyvens forslag.
"Ved at stemme for dette forslag accepterer indehavere af mango-tokens at betale denne dusør og betale den dårlige gæld med statskassen og give afkald på eventuelle krav mod konti med dårlig gæld, og vil ikke forfølge nogen kriminel efterforskning eller indefrysning af midler, når tokens først er modtaget. sendes tilbage som beskrevet ovenfor," skrev angriberen på protokollens styringsforum.
Hackeren anmoder Mango om at bruge sit statskassebeholdning på 70 millioner USDC til at tilbagebetale "dårlig gæld". Denne gæld stammer fra en hændelse i juni, når Mango-samfundet dannede hold med en anden Solana-baseret låne- og låneprotokol, Solend, for at håndtere en systemisk risiko forårsaget af en enkelt stor låntager med risiko for likvidation, der satte hele Solana DeFi-økosystemet i fare.
Mango DAO, eller stewards af protokollen, bør heller ikke forfølge nogen kriminel efterforskning eller indefryse angriberens midler - via centraliserede stablecoins som USDC og USDT - når først kryptoaktiverne er returneret.
Men ikke alle aktiver vil blive returneret; mens et endeligt beløb for dusøren ikke blev givet, kan det antages ud fra de tokens, der er udeladt fra det indledende hack, at angriberen anmoder om at beholde langt over halvdelen af det, de stjal - væsentligt mere end de fleste "white hat" hackere eller bug dusørjægere typisk modtage.
Alligevel har Mango DAO-medlemmer indtil videre stemt for hackerens forslag med en ja-rate på 99.9% fra omkring 33 millioner MNGO-tokens - selvom kun en enkelt tegnebogsadresse er ansvarlig for brorparten af stemmerne. Som DAO er på vej, er denne ekstremt centraliseret, hvor de fleste regeringstemmer kun afgøres af en håndfuld adresser.
Der kræves yderligere 67 millioner ja-stemmer, for at forslaget kan passere en tærskel for beslutningsdygtighed i løbet af den tre dage lange afstemningsperiode.
Pris orakel manipulation
Mens konsultationen og undersøgelsen fortsætter, har platformens stewards anmodet brugerne om at ophøre med at deponere aktiver, indtil situationen bliver mere klar.
Lån og udlån af dapps er afhængige af orakler til at trække on-chain data for specifikke tokens. Manipulation opstår, når protokoller, såsom datafeeds, er beskadiget, hvilket tillader transaktioner, der ikke var tilsigtet.
I tilfældet med Mango var angriberen i stand til at manipulere deres sikkerhedsstillelse via platformen, før han optog "massive lån" på i alt $112,199,876 fra Mangos finans-, sikkerhedsrevisionsfirma OtterSec rapporterede på Twitter.
OtterSec-grundlægger Robert Chen bekræftede tallet over for Blockworks, som sagde, at prismanipulationen var mistænkt for at have fundet sted på centraliserede børser, som Mango brugte til at henvise til værdien af sikkerhedsstillelsen.
MNGO's pris steg kortvarigt omkring 300% til $0.15 i løbet af 10 minutter på FTX-børsen, og faldt derefter 88% til under $0.02 efter angrebet.
Solana-udvikleren Tom Geshury blev krediteret for at være den første til at bringe hacket til sikkerhedsrevisionsfirmaets opmærksomhed.
Geshury fortalte Blockworks, at hackeren brugte 10 millioner dollars til selv at handle Mango evige kontrakter og derefter anslået 3 millioner dollars til at pumpe prisen på MNGO og eksekvere planen, før markedsdeltagerne fik nys om ordningen og begyndte at dumpe deres tokens.
Kort efter OtterSecs Twitter-indlæg udgav Mango en erklæring, der sagde, at de tog skridt til at få tredjeparter til at fryse penge under flugten.
"Vi vil deaktivere indbetalinger på frontend som en forholdsregel og vil holde dig opdateret, efterhånden som situationen udvikler sig," gruppen sagde via Twitter.
Blockworks forsøgte at kontakte flere administratorer på Mango Discord-kanalen, men det lykkedes ikke.
En række protokoller er blevet ramt af sådanne angreb alene i år, herunder DeFi-platformen Inverse Finance for $ 5.8 millioner i juni og stablecoin udlånsplatform Fortress Protocol for $ 3 millioner i Maj.
Angrebet mod Mango kommer mindre end en uge efter, at Binances eget netværk, BNB Chain, blev målrettet hundredvis af millioner af dollars via en cross-chain bridge exploit. Det stjålne beløb var indeholdt til omkring $100 mio.
Deltage DAS: LONDON og hør, hvordan de største TradFi- og kryptoinstitutioner ser fremtiden for kryptos institutionelle adoption. Tilmeld her.
Kilde: https://blockworks.co/mango-markets-mangled-by-oracle-manipulation-for-112m/