Mercados de manga mutilados pela manipulação da Oracle por US$ 112 milhões

A Mango Markets, uma plataforma de negociação de finanças descentralizadas (DeFi) na blockchain Solana, disse na terça-feira que estava investigando um hack no valor de aproximadamente US$ 112 milhões em ativos digitais.

Mango disse que o hacker conseguiu drenar fundos de sua plataforma utilizando uma técnica conhecida como manipulação de preços de oráculo – uma forma de ataque econômico que atingiu outros protocolos DeFi antes.

O ator conseguiu retirar vários ativos digitais – principalmente stablecoins, incluindo US$ 53.7 milhões em USD Coin (USDC) e US$ 3.2 milhões em Tether (USDT) – mas também solana (SOL).

Em uma reviravolta incomum, eles são propondo voltar uma parte dos fundos roubados, ou seja, Marinade staked solana (MSOL), um derivado de staking, SOL nativo e o próprio token de governança MNGO da plataforma. O resto o culpado reivindica como uma “recompensa”.

Isso, claro, se a comunidade DAO da Mango votar sim na proposta do ladrão.

“Ao votar nesta proposta, os detentores de tokens de manga concordam em pagar esta recompensa e pagar a dívida incobrável com o tesouro, e renunciam a quaisquer reivindicações potenciais contra contas com dívidas incobráveis, e não prosseguirão com nenhuma investigação criminal ou congelamento de fundos uma vez que os tokens são enviados de volta conforme descrito acima”, o atacante escreveu no fórum de governança do protocolo.

O hacker está solicitando que a Mango use seu estoque do tesouro de 70 milhões de USDC para pagar “dívidas incobráveis”. Esta dívida decorre de uma incidente em junho, quando a comunidade Mango uniram-se com outro protocolo de empréstimo e empréstimo baseado em Solana, o Solend, para lidar com um risco sistêmico causado por um único grande mutuário, em risco de liquidação, que colocou todo o ecossistema Solana DeFi em risco.

O Mango DAO, ou administradores do protocolo, também não deve realizar investigações criminais ou congelar os fundos do invasor – por meio de stablecoins centralizadas como USDC e USDT – assim que os criptoativos forem devolvidos.

Mas nem todos os bens serão devolvidos; embora um valor definitivo para a recompensa não tenha sido fornecido, pode-se supor pelos tokens omitidos do hack inicial que o invasor está solicitando manter bem mais da metade do que roubou - substancialmente mais do que a maioria dos hackers de "chapéu branco" ou caçadores de bugs normalmente recebem.

Ainda assim, os membros do Mango DAO até agora votaram a favor da proposta do hacker, com uma taxa de sim de 99.9% de cerca de 33 milhões de tokens MNGO – embora apenas um único endereço de carteira seja responsável pela maior parte dos votos. No que diz respeito ao DAO, este é extremamente centralizado, com a maioria dos votos de governança sendo decididos por apenas um punhado de endereços.

São necessários mais 67 milhões de votos sim para que a proposta ultrapasse um limite de quórum durante o período de votação de três dias.

Manipulação do oráculo de preços

Enquanto a consulta e a investigação continuam, os administradores da plataforma solicitaram que os usuários parem de depositar ativos até que a situação fique mais clara.

Os dapps de empréstimo e empréstimo dependem de oráculos para extrair dados da cadeia para tokens específicos. A manipulação ocorre quando os protocolos desses feeds de dados são corrompidos, permitindo transações que não foram intencionadas.

No caso da Mango, o invasor conseguiu manipular seu valor de garantia por meio da plataforma antes de fazer “empréstimos maciços” totalizando US$ 112,199,876 do tesouro da Mango, empresa de auditoria de segurança OtterSec reportado no Twitter.

O fundador da OtterSec, Robert Chen, confirmou o número à Blockworks, que disse que a manipulação de preços era suspeita de ter ocorrido em exchanges centralizadas que a Mango usava para referenciar o valor da garantia.

O preço da MNGO subiu brevemente cerca de 300% para US$ 0.15 no espaço de 10 minutos na bolsa FTX, depois caiu 88% para menos de US$ 0.02 após o ataque.

O desenvolvedor do Solana, Tom Geshury, foi creditado como o primeiro a trazer o hack para a atenção da empresa de auditoria de segurança.

Geshury disse à Blockworks que o hacker usou US$ 10 milhões para negociar contratos perpétuos da Mango e, em seguida, cerca de US$ 3 milhões para aumentar o preço da MNGO e executar o plano, antes que os participantes do mercado soubessem do esquema e começassem a despejar seus tokens.

Logo após o post do OtterSec no Twitter, a Mango divulgou um comunicado dizendo que estava tomando medidas para que terceiros congelassem fundos em voo.

“Desativaremos os depósitos no front-end por precaução e os manteremos atualizados à medida que a situação evoluir”, disse o grupo. disse via Twitter.

A Blockworks tentou entrar em contato com vários administradores no canal Mango Discord, mas não teve sucesso.

Vários protocolos foram atingidos por esses ataques somente este ano, incluindo a plataforma DeFi Inverse Finance para $ 5.8 milhões em junho e a plataforma de empréstimo de stablecoin Fortress Protocol para $ 3 milhões em maio.

O ataque contra Mango ocorre menos de uma semana depois que a própria rede da Binance, BNB Chain, foi alvo de centenas de milhões de dólares através de uma exploração de ponte de cadeia cruzada. O valor roubado foi contido em cerca de US $ 100 milhões.

Assistir DAS: LONDRES e ouça como as maiores instituições de TradFi e criptomoedas veem o futuro da adoção institucional da criptomoeda. Registro Aqui.