- A Mango está atualmente investigando uma exploração dos feeds de preços da Oracle para seu próprio token de governança
- O hacker responsável está pedindo aos membros do DAO que votem em uma proposta que devolveria uma parte dos fundos roubados
A Mango Markets, uma plataforma de negociação de finanças descentralizadas (DeFi) na blockchain Solana, disse na terça-feira que estava investigando um hack no valor de aproximadamente US$ 112 milhões em ativos digitais.
Mango disse que o hacker conseguiu drenar fundos de sua plataforma utilizando uma técnica conhecida como manipulação de preços de oráculo – uma forma de ataque econômico que atingiu outros protocolos DeFi antes.
O ator conseguiu retirar vários ativos digitais – principalmente stablecoins, incluindo US$ 53.7 milhões em USD Coin (USDC) e US$ 3.2 milhões em Tether (USDT) – mas também solana (SOL).
Em uma reviravolta incomum, eles são propondo voltar uma parte dos fundos roubados, ou seja, Marinade staked solana (MSOL), um derivado de staking, SOL nativo e o próprio token de governança MNGO da plataforma. O resto o culpado reivindica como uma “recompensa”.
Isso, claro, se a comunidade DAO da Mango votar sim na proposta do ladrão.
“Ao votar nesta proposta, os detentores de tokens de manga concordam em pagar esta recompensa e pagar a dívida incobrável com o tesouro, e renunciam a quaisquer reivindicações potenciais contra contas com dívidas incobráveis, e não prosseguirão com nenhuma investigação criminal ou congelamento de fundos uma vez que os tokens são enviados de volta conforme descrito acima”, o atacante escreveu no fórum de governança do protocolo.
O hacker está solicitando que a Mango use seu estoque do tesouro de 70 milhões de USDC para pagar “dívidas incobráveis”. Esta dívida decorre de uma incidente em junho, quando a comunidade Mango uniram-se com outro protocolo de empréstimo e empréstimo baseado em Solana, o Solend, para lidar com um risco sistêmico causado por um único grande mutuário, em risco de liquidação, que colocou todo o ecossistema Solana DeFi em risco.
O Mango DAO, ou administradores do protocolo, também não deve realizar investigações criminais ou congelar os fundos do invasor – por meio de stablecoins centralizadas como USDC e USDT – assim que os criptoativos forem devolvidos.
Mas nem todos os bens serão devolvidos; embora um valor definitivo para a recompensa não tenha sido fornecido, pode-se supor pelos tokens omitidos do hack inicial que o invasor está solicitando manter bem mais da metade do que roubou - substancialmente mais do que a maioria dos hackers de "chapéu branco" ou caçadores de bugs normalmente recebem.
Ainda assim, os membros do Mango DAO até agora votaram a favor da proposta do hacker, com uma taxa de sim de 99.9% de cerca de 33 milhões de tokens MNGO – embora apenas um único endereço de carteira seja responsável pela maior parte dos votos. No que diz respeito ao DAO, este é extremamente centralizado, com a maioria dos votos de governança sendo decididos por apenas um punhado de endereços.
São necessários mais 67 milhões de votos sim para que a proposta ultrapasse um limite de quórum durante o período de votação de três dias.
Manipulação do oráculo de preços
Enquanto a consulta e a investigação continuam, os administradores da plataforma solicitaram que os usuários parem de depositar ativos até que a situação fique mais clara.
Os dapps de empréstimo e empréstimo dependem de oráculos para extrair dados da cadeia para tokens específicos. A manipulação ocorre quando os protocolos desses feeds de dados são corrompidos, permitindo transações que não foram intencionadas.
No caso da Mango, o invasor conseguiu manipular seu valor de garantia por meio da plataforma antes de fazer “empréstimos maciços” totalizando US$ 112,199,876 do tesouro da Mango, empresa de auditoria de segurança OtterSec reportado no Twitter.
O fundador da OtterSec, Robert Chen, confirmou o número à Blockworks, que disse que a manipulação de preços era suspeita de ter ocorrido em exchanges centralizadas que a Mango usava para referenciar o valor da garantia.
O preço da MNGO subiu brevemente cerca de 300% para US$ 0.15 no espaço de 10 minutos na bolsa FTX, depois caiu 88% para menos de US$ 0.02 após o ataque.
O desenvolvedor do Solana, Tom Geshury, foi creditado como o primeiro a trazer o hack para a atenção da empresa de auditoria de segurança.
Geshury disse à Blockworks que o hacker usou US$ 10 milhões para negociar contratos perpétuos da Mango e, em seguida, cerca de US$ 3 milhões para aumentar o preço da MNGO e executar o plano, antes que os participantes do mercado soubessem do esquema e começassem a despejar seus tokens.
Logo após o post do OtterSec no Twitter, a Mango divulgou um comunicado dizendo que estava tomando medidas para que terceiros congelassem fundos em voo.
“Desativaremos os depósitos no front-end por precaução e os manteremos atualizados à medida que a situação evoluir”, disse o grupo. disse via Twitter.
A Blockworks tentou entrar em contato com vários administradores no canal Mango Discord, mas não teve sucesso.
Vários protocolos foram atingidos por esses ataques somente este ano, incluindo a plataforma DeFi Inverse Finance para $ 5.8 milhões em junho e a plataforma de empréstimo de stablecoin Fortress Protocol para $ 3 milhões em maio.
O ataque contra Mango ocorre menos de uma semana depois que a própria rede da Binance, BNB Chain, foi alvo de centenas de milhões de dólares através de uma exploração de ponte de cadeia cruzada. O valor roubado foi contido em cerca de US $ 100 milhões.
Assistir DAS: LONDRES e ouça como as maiores instituições de TradFi e criptomoedas veem o futuro da adoção institucional da criptomoeda. Registro Aqui.
Fonte: https://blockworks.co/mango-markets-mangled-by-oracle-manipulation-for-112m/