DeFi 資訊安全

DeFi平台Mango遭駭始末|多空雙開、操縱市場價格,掏空1.16億美元資產

Perry
分享
DeFi平台Mango遭駭始末|多空雙開、操縱市場價格,掏空1.16億美元資產

Solana 上的 DeFi 平台 Mango 於今日清晨遭到攻擊,攻擊者透過操縱多市場的 MNGO 現貨價格,使衍生品市場的部位賺進大量收益,再一舉將 Mango 的資產借出。當前 Mango 平台的流動性幾乎歸零,在此事件中損失超過 1 億美元。(註:攻擊者利用合理手法汲取資金,並非利用代碼漏洞的「駭客」。)

Mango 平台遭駭經過

根據 Genesis Global Trading 衍生品主管 Joshua Lim 的說法,以下為駭客的操作手法:

1.攻擊者先於帳號 A (CQvKS…) 存入 500 萬顆 USDC,隨後於 MNGO-PERP 交易對掛了 4.83 億顆 MNGO 的賣單。

廣告 - 內文未完請往下捲動

2.接著再存入 500 萬顆 USDC 於帳戶 B (4ND8F…) 中,並以每顆 0.0382 美元的價格買入帳號 A 先前掛的 4.83 億顆 MNGO 的賣單,也就是帳號 A、B 成為各自的對手方。

3.在一切準備就緒後,攻擊者透過於多個交易所操縱 MNGO 的現貨市場價格,短時間內 MNGO 一度上升至 0.91 美元。帳號 B 此時已有高達 4.21 億美元的未實現損益。

計算過程:4.83 億顆 MNGO * (0.91 美元 – 0.0382 美元) = 4.21 億美元。

4.攻擊者便利用這巨額的未實現損益借出 1.16 億美元的資產,將 Mango 平台的流動性全數掏空。

以上為攻擊者操作的主要流程,若觀察 Mango 平台當前數據,可發現資產的使用率 (Utilization) 幾乎皆為 100%,平台已無多少剩餘資產,借貸款利率也因此飆升。

區塊鏈審計平台 OtterSec 也於 Twitter 補充了事情經過,其表示 MNGO 價格飆升對用戶社群產生大量影響,過程中造成了超過 4,000 次的空頭清算。

Mango 駭客發起償還壞帳投票

在事情發生不久後,這位駭客於 Mango 發起提案,提議利用 Mango 財庫裡剩餘的 7,000 萬顆 USDC 支付因駭客事件產生的壞帳 (由於平台資金赤字,存款人無法將原先存入資產領出),而任何壞帳都將被視為漏洞賞金 / 保險,從 Mango 財庫中支付。。

只要提案通過,駭客便會將駭出的 MSOL、SOL 及 MNGO 還給 Mango 團隊,總額約為 5,000 萬美元。且駭客還額外要求,代幣送回後不會被追究此事情刑事責任也不會凍結被駭資金。

目前提案獲得 99.9% 的贊成率,預計於三天後結束投票。

Mango 官方回應

對於後續提案,Mango 官方並無多做回應,僅餘今日上午表示正在進行調查,並將會與第三方組織合作凍結攻擊者資金。

另外,MNGO 的價格也因為攻擊者事件大幅崩跌,單日跌幅高達 44%,截稿前價格約為 0.022 美元。