- Mango undersøker for tiden en utnyttelse av orakelprisfeedene for sitt eget styringstoken
- Den ansvarlige hackeren ber DAO-medlemmer om å stemme over et forslag som vil returnere en del av de stjålne midlene
Mango Markets, en desentralisert finanshandelsplattform (DeFi) på Solana-blokkjeden, sa tirsdag at den undersøkte et hack verdt omtrent 112 millioner dollar i digitale eiendeler.
Mango sa at hackeren var i stand til å tappe penger fra plattformen sin ved å bruke en teknikk kjent som orakelprismanipulasjon - en form for økonomisk angrep som har truffet andre DeFi-protokoller før.
Skuespilleren klarte å ta ut forskjellige digitale eiendeler - for det meste stabile mynter, inkludert $53.7 millioner i USD Coin (USDC) og $3.2 millioner i Tether (USDT) - men også solana (SOL).
I en uvanlig vri er de det foreslår å returnere en del av de stjålne midlene, nemlig Marinade staked solana (MSOL), et innsatsderivat, native SOL og plattformens eget MNGO governance token. Resten hevder den skyldige som en "dusør".
Det er selvfølgelig hvis Mangos DAO-samfunn stemmer ja på tyvens forslag.
"Ved å stemme for dette forslaget, samtykker innehavere av mango-tokener til å betale denne dusøren og betale ned den dårlige gjelden med statskassen, og frafalle potensielle krav mot kontoer med dårlig gjeld, og vil ikke forfølge noen kriminelle etterforskninger eller frysing av midler når tokens sendes tilbake som beskrevet ovenfor," skrev angriperen på protokollens styringsforum.
Hackeren ber Mango om å bruke statskassen på 70 millioner USDC for å tilbakebetale «dårlig gjeld». Denne gjelden stammer fra en hendelse i juni da Mango-samfunnet slo seg sammen med en annen Solana-basert utlåns- og låneprotokoll, Solend, for å håndtere en systemrisiko forårsaket av en enkelt stor låntaker, med risiko for avvikling, som satte hele Solana DeFi-økosystemet i fare.
Mango DAO, eller forvaltere av protokollen, bør heller ikke forfølge noen kriminelle etterforskninger eller fryse angriperens midler - via sentraliserte stablecoins som USDC og USDT - når kryptoaktiva er returnert.
Men ikke alle eiendelene vil bli returnert; Selv om et definitivt beløp for dusøren ikke ble gitt, kan det antas ut fra symbolene som er utelatt fra det første hacket at angriperen ber om å beholde godt over halvparten av det de stjal - vesentlig mer enn de fleste "white hat" hackere eller bug dusørjegere vanligvis mottar.
Likevel har Mango DAO-medlemmer så langt stemt for hackerens forslag, med en ja-rate på 99.9 % fra omtrent 33 millioner MNGO-tokens – selv om bare én enkelt lommebokadresse er ansvarlig for brorparten av stemmene. Som DAO går, er denne ekstremt sentralisert, med de fleste styringsstemmer som avgjøres av bare en håndfull adresser.
Ytterligere 67 millioner ja-stemmer kreves for at forslaget skal passere en beslutningsdyktighetsgrense i løpet av den tre dager lange stemmeperioden.
Pris orakel manipulasjon
Mens konsultasjonen og etterforskningen fortsetter, har plattformens forvaltere bedt brukerne om å slutte å deponere eiendeler inntil situasjonen blir klarere.
Lån og utlån av dapps er avhengige av orakler for å hente data på kjeden for spesifikke tokens. Manipulasjon skjer når protokoller som slike datastrømmer er ødelagte, noe som tillater transaksjoner som ikke var tiltenkt.
Når det gjelder Mango, var angriperen i stand til å manipulere sikkerhetsverdien deres via plattformen før han tok opp "massive lån" på til sammen $112,199,876 XNUMX XNUMX fra Mangos treasury, sikkerhetsrevisjonsfirma OtterSec rapporterte på Twitter.
OtterSec-grunnlegger Robert Chen bekreftet tallet til Blockworks som sa at prismanipulasjonen ble mistenkt for å ha skjedd på sentraliserte børser som Mango brukte for å referere til verdien av sikkerheten.
MNGOs pris økte en kort stund med rundt 300 % til $0.15 i løpet av 10 minutter på FTX-børsen, og falt deretter 88% til under $0.02 etter angrepet.
Solana-utvikleren Tom Geshury ble kreditert for å være den første som gjorde sikkerhetsrevisjonsfirmaet oppmerksom på hacket.
Geshury fortalte Blockworks at hackeren brukte 10 millioner dollar til å selvhandle Mango evigvarende kontrakter og deretter anslagsvis 3 millioner dollar for å pumpe prisen på MNGO og gjennomføre planen, før markedsdeltakerne fikk nyss om ordningen og begynte å dumpe tokens.
Kort tid etter OtterSecs Twitter-innlegg ga Mango ut en uttalelse som sa at de tok skritt for å få tredjeparter til å fryse midler på flukt.
"Vi vil deaktivere innskudd på frontend som en forholdsregel og vil holde deg oppdatert etter hvert som situasjonen utvikler seg," gruppen sa via Twitter.
Blockworks forsøkte å kontakte flere administratorer på Mango Discord-kanalen, men lyktes ikke.
En rekke protokoller har blitt rammet av slike angrep bare i år, inkludert DeFi-plattformen Inverse Finance for $ 5.8 millioner i juni og stablecoin utlånsplattform Fortress Protocol for $ 3 millioner i mai.
Angrepet mot Mango kommer mindre enn en uke etter at Binances eget nettverk, BNB Chain, ble målrettet mot hundrevis av millioner dollar via en cross-chain bro utnyttelse. Beløpet som ble stjålet var inneholdt til rundt 100 millioner dollar.
venter DAS: LONDON og hør hvordan de største TradFi- og kryptoinstitusjonene ser på fremtiden for kryptos institusjonelle adopsjon. Registrere her.
Kilde: https://blockworks.co/mango-markets-mangled-by-oracle-manipulation-for-112m/