Den 18. oktober blev Moola Market – en anstændig størrelse krypto-udlånsplatform – udnyttet via prismanipulation af dets oprindelige token, MOO, som har relativt lav likviditet. Det gør CELO – et økosystem som Moola Markets er en del af – dog ikke.
Udnyttelsen lignede den nylige Mango Markets-fiasko, da angriberen brugte en platforms native token med lav likviditet til at udføre en række usædvanlige handler, der, selvom de ikke er teknisk ulovlige, udgør et misbrug af platformen.
MOO-prisen drevet op med 6,400 %
For at generere en enorm udbetaling købte angriberen MOO for omkring 45 USD, som derefter blev sat ned som sikkerhed for at låne CELO fra platformen. Intet ud over det sædvanlige indtil videre. Angriberen brugte dog den lånte CELO til at købe mere MOO.
Denne vekslende gentagelse af at købe et token og bruge det som sikkerhed for det andet blev gentaget flere gange. Hvis denne bestræbelse var blevet udført med to tokens med høj likviditet, ville virkningerne på deres priser have været ubetydelige.
Men da MOO er et token med meget lav likviditet, blev det konstante køb af MOO af blockchain set som en pludselig interesse for tokenet, der drev prisen op med svimlende 6,400%. Holdet hos Moola var hurtige til at bemærke uheldet.
Vi efterforsker aktivt en hændelse vedr @Moola_Marked. Al aktivitet på Moola er sat på pause. Byt venligst ikke mTokens.
Til udnytteren har vi kontaktet retshåndhævelsen og taget skridt til at gøre det vanskeligt at likvidere midlerne. Vi er villige til at forhandle en...
— Moola Market 🐮 (@Moola_Market) Oktober 18, 2022
Desværre, da de lagde mærke til, at den driftige erhvervsdrivende viste en unødig mængde interesse for tokenet, var angriberen i stand til at manipulere prisen på MOO høj nok til at købe MOO for en samlet værdi af $1.2 millioner, $740k CELO Euros ( cEUR), 644 USD CELO USD (cUSD) og CELO for 6.6 millioner USD. Alt i alt blev der lånt midler til en værdi af 9.1 millioner dollars, startende fra en indledende indbetaling på 45 dollars.
Kom tilbage på banen
Da Moola-udviklere bemærkede handlen, nåede de straks ud til angriberen via Twitter og lovede sagsanlæg, hvis pengene ikke blev returneret inden for 24 timer. Det er vigtigt at bemærke, at platformen ville have haft begrænset juridisk adgang, hvis angriberen nægtede.
De to parter ser dog ud til at være nået til enighed ret hurtigt.
"Efter dagens hændelse er 93.1 % af midlerne blevet returneret til Moolas regeringsmulti-sig. Vi er fortsat med at sætte al aktivitet på Moola på pause og vil følge op med fællesskabet om de næste skridt og for sikkert at genstarte Moola-protokollen."
De resterende $500 ser ud til at repræsentere en bug-bounty for den driftige angriber - en meget mindre sum, end de oprindeligt tjente, men ikke desto mindre et 1,000%+ afkast af hans oprindelige investering på $45k.
Binance Gratis $100 (Eksklusivt): Brug dette link at registrere og modtage $100 gratis og 10% rabat på gebyrer på Binance Futures første måned (vilkår).
PrimeXBT Særtilbud: Brug dette link for at registrere og indtaste POTATO50-koden for at modtage op til $7,000 på dine indbetalinger.
Kilde: https://cryptopotato.com/making-500k-in-a-day-moola-market-hacker-gets-a-bounty-and-returns-stolen-funds/