Mango Markets Mangled durch Oracle-Manipulation für 112 Millionen Dollar

Mango Markets, eine Handelsplattform für dezentrale Finanzen (DeFi) auf der Solana-Blockchain, gab am Dienstag bekannt, dass sie einen Hack im Wert von etwa 112 Millionen US-Dollar an digitalen Vermögenswerten untersucht.

Mango sagte, der Hacker sei in der Lage gewesen, Gelder von seiner Plattform abzuziehen, indem er eine Technik verwendete, die als Orakelpreismanipulation bekannt ist – eine Form des wirtschaftlichen Angriffs, die zuvor andere DeFi-Protokolle getroffen hat.

Dem Schauspieler gelang es, verschiedene digitale Vermögenswerte abzuheben – hauptsächlich Stablecoins, darunter 53.7 Millionen Dollar in USD Coin (USDC) und 3.2 Millionen Dollar in Tether (USDT) – aber auch Solana (SOL).

In einer ungewöhnlichen Wendung sind sie Rückkehr vorschlagen ein Teil der gestohlenen Gelder, nämlich Marinade Stacked Solana (MSOL), ein Staking-Derivat, natives SOL und das plattformeigene MNGO-Governance-Token. Den Rest fordert der Täter als „Kopfgeld“.

Das heißt natürlich, wenn die DAO-Community von Mango dem Vorschlag des Diebes zustimmt.

„Indem sie für diesen Vorschlag stimmen, stimmen Inhaber von Mango-Token zu, diese Prämie zu zahlen und die Forderungsausfälle mit der Staatskasse zu begleichen, und verzichten auf potenzielle Ansprüche gegen Konten mit Forderungsausfällen und werden keine strafrechtlichen Ermittlungen oder das Einfrieren von Geldern durchführen, sobald die Tokens vorhanden sind werden wie oben beschrieben zurückgesendet“, Der Angreifer schrieb im Governance-Forum des Protokolls.

Der Hacker fordert Mango auf, seinen Schatz in Höhe von 70 Millionen USDC zu verwenden, um „faule Schulden“ zurückzuzahlen. Diese Schulden stammen aus einer Zwischenfall im Juni, wenn die Mango-Community zusammengetan mit einem anderen auf Solana basierenden Kredit- und Kreditprotokoll, Solend, um mit einem systemischen Risiko fertig zu werden, das von einem einzelnen großen Kreditnehmer verursacht wird, dessen Liquidation droht und das das gesamte Solana-DeFi-Ökosystem in Gefahr bringt.

Die Mango DAO oder Verwalter des Protokolls sollten auch keine strafrechtlichen Ermittlungen durchführen oder die Gelder des Angreifers – über zentralisierte Stablecoins wie USDC und USDT – einfrieren, sobald die Kryptoanlagen zurückgegeben wurden.

Aber nicht alle Vermögenswerte werden zurückgegeben; Obwohl kein endgültiger Betrag für das Kopfgeld angegeben wurde, kann aufgrund der beim ersten Hack weggelassenen Token angenommen werden, dass der Angreifer verlangt, weit mehr als die Hälfte dessen zu behalten, was er gestohlen hat – wesentlich mehr als die meisten „White Hat“-Hacker oder Bug-Bounty-Jäger normalerweise erhalten.

Dennoch haben Mango DAO-Mitglieder bisher für den Vorschlag des Hackers gestimmt, mit einer Ja-Rate von 99.9 % bei rund 33 Millionen MNGO-Token – obwohl nur eine einzige Wallet-Adresse für den Löwenanteil der Stimmen verantwortlich ist. Was die DAO betrifft, ist diese extrem zentralisiert, wobei die meisten Governance-Abstimmungen von nur einer Handvoll Adressen entschieden werden.

Weitere 67 Millionen Ja-Stimmen sind erforderlich, damit der Vorschlag während der dreitägigen Abstimmungsperiode eine Quorum-Schwelle erreicht.

Preisorakel-Manipulation

Während die Konsultation und Untersuchung fortgesetzt werden, haben die Stewards der Plattform die Benutzer aufgefordert, die Hinterlegung von Vermögenswerten einzustellen, bis die Situation klarer wird.

Das Ausleihen und Verleihen von Dapps verlässt sich auf Orakel, um On-Chain-Daten für bestimmte Token abzurufen. Manipulationen treten auf, wenn Protokolle wie Daten-Feeds beschädigt werden und Transaktionen ermöglichen, die nicht beabsichtigt waren.

Im Fall von Mango war der Angreifer in der Lage, ihren Sicherheitenwert über die Plattform zu manipulieren, bevor er „massive Kredite“ in Höhe von insgesamt 112,199,876 $ von Mangos Treasury, einer Sicherheitsprüfungsfirma, aufnahm Ottersec berichtet auf Twitter.

OtterSec-Gründer Robert Chen bestätigte die Zahl gegenüber Blockworks, der sagte, dass die Preismanipulation vermutlich an zentralisierten Börsen stattgefunden habe, die Mango als Referenz für den Wert der Sicherheiten verwendet habe.

Der Preis von MNGO stieg an der FTX-Börse innerhalb von 300 Minuten kurzzeitig um etwa 0.15 % auf 10 $ und fiel dann nach dem Angriff um 88 % auf unter 0.02 $.

Dem Solana-Entwickler Tom Geshury wird zugeschrieben, der erste gewesen zu sein, der die Sicherheitsprüfungsfirma auf den Hack aufmerksam gemacht hat.

Geshury sagte Blockworks, der Hacker habe 10 Millionen Dollar für den Selbsthandel mit unbefristeten Mango-Kontrakten und dann geschätzte 3 Millionen Dollar verwendet, um den Preis von MNGO zu erhöhen und den Plan auszuführen, bevor die Marktteilnehmer Wind von dem Plan bekamen und begannen, ihre Token zu verwerfen.

Kurz nach dem Twitter-Beitrag von OtterSec veröffentlichte Mango eine Erklärung, in der es hieß, dass sie Schritte unternehmen würden, um Dritte dazu zu bringen, Gelder im Flug einzufrieren.

„Wir werden vorsorglich Einzahlungen am Frontend deaktivieren und Sie über die Entwicklung der Situation auf dem Laufenden halten“, so die Gruppe sagte via Twitter.

Blockworks versuchte, mehrere Administratoren auf dem Mango Discord-Kanal zu kontaktieren, war jedoch erfolglos.

Eine Reihe von Protokollen wurde allein in diesem Jahr von solchen Angriffen getroffen, darunter die DeFi-Plattform Inverse Finance for 5.8 Mio. US$ im Juni und die Stablecoin-Leihplattform Fortress Protocol for 3 Mio. US$ im Mai.

Der Angriff auf Mango erfolgt weniger als eine Woche, nachdem das eigene Netzwerk von Binance, BNB Chain, angegriffen wurde Hunderte von Millionen Dollar über einen Cross-Chain-Bridge-Exploit. Die gestohlene Menge war auf etwa 100 Millionen Dollar beschränkt.

Teilnehmen DAS: LONDON und erfahren Sie, wie die größten TradFi- und Krypto-Institutionen die Zukunft der institutionellen Einführung von Krypto sehen. Registrieren .