Ang Mango Markets ay Ginulo ng Oracle Manipulation sa halagang $112M

Ang Mango Markets, isang decentralized finance (DeFi) trading platform sa Solana blockchain, ay nagsabi noong Martes na sinisiyasat nito ang isang hack na nagkakahalaga ng humigit-kumulang $112 milyon sa mga digital asset.

Sinabi ni Mango na naubos ng hacker ang mga pondo mula sa platform nito gamit ang isang pamamaraan na kilala bilang pagmamanipula ng presyo ng oracle — isang uri ng pang-ekonomiyang pag-atake na tumama sa iba pang mga protocol ng DeFi dati.

Nagawa ng aktor na mag-withdraw ng iba't ibang mga digital asset — karamihan ay mga stablecoin, kabilang ang $53.7 milyon sa USD Coin (USDC) at $3.2 milyon sa Tether (USDT) — ngunit gayundin ang solana (SOL).

Sa isang hindi pangkaraniwang twist, sila nagmumungkahi na bumalik isang bahagi ng mga ninakaw na pondo, katulad ng Marinade staked solana (MSOL), isang staking derivative, katutubong SOL at ang sariling token ng pamamahala ng MNGO ng platform. Ang natitira ay inaangkin ng salarin bilang isang "kaloob."

Iyon ay, siyempre, kung ang komunidad ng DAO ng Mango ay bumoto ng oo sa panukala ng magnanakaw.

“Sa pamamagitan ng pagboto para sa panukalang ito, sumasang-ayon ang mga may hawak ng mango token na bayaran ang bounty na ito at bayaran ang masamang utang sa treasury, at isinusuko ang anumang potensyal na paghahabol laban sa mga account na may masamang utang, at hindi na magpapatuloy ng anumang kriminal na pagsisiyasat o pagyeyelo ng mga pondo sa sandaling makuha ang mga token. ay ibinalik tulad ng inilarawan sa itaas,” isinulat ng umaatake sa forum ng pamamahala ng protocol.

Hinihiling ng hacker na gamitin ni Mango ang treasury stash nito na 70 milyong USDC upang bayaran ang "masamang utang." Ang utang na ito ay nagmula sa isang pangyayari noong Hunyo nang ang pamayanan ng Mango nagtipon kasama ang isa pang protocol sa pagpapautang at paghiram na nakabatay sa Solana, si Solend, upang harapin ang isang sistematikong panganib na dulot ng isang malaking borrower, na nasa panganib na mapuksa, na naglalagay sa buong Solana DeFi ecosystem sa panganib.

Ang Mango DAO, o mga tagapangasiwa ng protocol, ay hindi rin dapat magsagawa ng anumang kriminal na pagsisiyasat o i-freeze ang mga pondo ng umaatake — sa pamamagitan ng mga sentralisadong stablecoin tulad ng USDC at USDT — kapag naibalik na ang mga cryptoasset.

Ngunit hindi lahat ng mga ari-arian ay ibabalik; habang ang isang tiyak na halaga para sa bounty ay hindi ibinigay, maaari itong ipalagay mula sa mga token na tinanggal mula sa paunang hack na hinihiling ng umaatake na panatilihin ang higit sa kalahati ng kanilang ninakaw - higit sa karamihan ng mga "white hat" na hacker o mga mangangaso ng bug bounty karaniwang natatanggap.

Gayunpaman, ang mga miyembro ng Mango DAO ay bumoto pabor sa panukala ng hacker, na may 99.9% yes rate mula sa humigit-kumulang 33 milyong mga token ng MNGO — kahit na isang solong wallet address lamang ang responsable para sa malaking bahagi ng boto. Sa pagdaan ng DAO, ang isang ito ay lubos na sentralisado, na ang karamihan sa mga boto sa pamamahala ay napagpasyahan sa pamamagitan lamang ng ilang mga address.

Ang karagdagang 67 milyong boto ng oo ay kinakailangan para sa panukala na makapasa sa isang quorum threshold sa loob ng tatlong araw na panahon ng pagboto.

Pagmamanipula ng orakulo ng presyo

Habang nagpapatuloy ang konsultasyon at pagsisiyasat, hiniling ng mga tagapangasiwa ng platform ang mga user na itigil ang pagdedeposito ng mga asset hanggang sa maging malinaw ang sitwasyon.

Ang paghiram at pagpapahiram ng mga dap ay umaasa sa mga orakulo upang makuha ang on-chain na data para sa mga partikular na token. Nangyayari ang pagmamanipula kapag nasira ang mga protocol ng naturang data feed, na nagpapahintulot sa mga transaksyong hindi nilayon.

Sa kaso ng Mango, nagawang manipulahin ng attacker ang kanilang collateral value sa pamamagitan ng platform bago kumuha ng "malaking pautang" na nagkakahalaga ng $112,199,876 mula sa treasury ng Mango, security auditing firm. Iniulat ng OtterSec sa Twitter.

Kinumpirma ng tagapagtatag ng OtterSec na si Robert Chen ang figure sa Blockworks na nagsabing ang pagmamanipula ng presyo ay pinaghihinalaang nangyari sa mga sentralisadong palitan na ginamit ni Mango upang tukuyin ang halaga ng collateral.

Ang presyo ng MNGO ay panandaliang tumaas nang humigit-kumulang 300% hanggang $0.15 sa loob ng 10 minuto sa FTX exchange, pagkatapos ay bumaba ng 88% sa ilalim ng $0.02 kasunod ng pag-atake.

Ang developer ng Solana na si Tom Geshury ay na-kredito bilang siya ang unang nagdala ng hack sa atensyon ng security auditing firm.

Sinabi ni Geshury sa Blockworks na gumamit ang hacker ng $10 milyon para i-self-trade ang Mango perpetual na mga kontrata at pagkatapos ay tinatayang $3 milyon para i-pump ang presyo ng MNGO at maisakatuparan ang plano, bago maisip ng mga kalahok sa merkado ang scheme at nagsimulang mag-dumping ng kanilang mga token.

Di-nagtagal pagkatapos ng post sa Twitter ng OtterSec, naglabas si Mango ng isang pahayag na nagsasabing nagsasagawa sila ng mga hakbang upang magkaroon ng mga third party na mag-freeze ng mga pondo sa paglipad.

"Idi-disable namin ang mga deposito sa front end bilang isang pag-iingat at papanatilihin kang updated habang nagbabago ang sitwasyon," ang grupo sinabi sa pamamagitan ng Twitter.

Sinubukan ng Blockworks na makipag-ugnayan sa ilang admin sa Mango Discord channel ngunit hindi ito nagtagumpay.

Ang isang bilang ng mga protocol ay natamaan ng mga naturang pag-atake sa taong ito lamang, kabilang ang DeFi platform Inverse Finance para sa $ 5.8 Milyon noong Hunyo at stablecoin lending platform Fortress Protocol para sa $ 3 Milyon sa Mayo.

Ang pag-atake laban sa Mango ay dumarating wala pang isang linggo pagkatapos ma-target ang sariling network ng Binance, ang BNB Chain daan-daang milyong dolyar sa pamamagitan ng isang cross-chain bridge exploit. Ang halagang ninakaw ay naglalaman ng humigit-kumulang $100 milyon.

Dumalo DAS:LONDON at marinig kung paano nakikita ng pinakamalaking TradFi at mga institusyong crypto ang hinaharap ng pag-aampon ng institusyonal ng crypto. Magrehistro dito.