Mango Markets destrozado por la manipulación de Oracle por $ 112 millones

Mango Markets, una plataforma de comercio de finanzas descentralizadas (DeFi) en la cadena de bloques de Solana, dijo el martes que estaba investigando un hackeo por un valor aproximado de $112 millones en activos digitales.

Mango dijo que el pirata informático pudo drenar fondos de su plataforma utilizando una técnica conocida como manipulación de precios del oráculo, una forma de ataque económico que ha afectado a otros protocolos DeFi antes.

El actor logró retirar varios activos digitales, en su mayoría monedas estables, incluidos $ 53.7 millones en USD Coin (USDC) y $ 3.2 millones en Tether (USDT), pero también solana (SOL).

En un giro inusual, son proponiendo volver una parte de los fondos robados, a saber, Marinade staked solana (MSOL), un derivado de staking, SOL nativo y el propio token de gobernanza MNGO de la plataforma. El resto, el culpable lo reclama como una "recompensa".

Eso es, por supuesto, si la comunidad DAO de Mango vota sí a la propuesta del ladrón.

“Al votar por esta propuesta, los tenedores de tokens de mango aceptan pagar esta recompensa y liquidar la deuda incobrable con el tesoro, y renuncian a cualquier reclamo potencial contra cuentas con deudas incobrables, y no realizarán investigaciones penales ni congelarán fondos una vez que los tokens son devueltos como se describe arriba,” el atacante escribió en el foro de gobernanza del protocolo.

El pirata informático solicita a Mango que use su reserva de tesorería de 70 millones de USDC para pagar la "deuda incobrable". Esta deuda se deriva de una incidente en junio cuando la comunidad de Mango Unido con otro protocolo de préstamos y préstamos basado en Solana, Solend, para hacer frente a un riesgo sistémico causado por un solo gran prestatario, en riesgo de liquidación, que pone en peligro todo el ecosistema DeFi de Solana.

Mango DAO, o los administradores del protocolo, tampoco deben realizar ninguna investigación criminal ni congelar los fondos del atacante, a través de monedas estables centralizadas como USDC y USDT, una vez que se devuelvan los criptoactivos.

Pero no se devolverán todos los bienes; Si bien no se proporcionó una cantidad definitiva de la recompensa, se puede suponer a partir de los tokens omitidos del ataque inicial que el atacante solicita quedarse con más de la mitad de lo que robó, sustancialmente más que la mayoría de los piratas informáticos de "sombrero blanco" o cazadores de recompensas de insectos normalmente recibe.

Aún así, los miembros de Mango DAO hasta ahora han votado a favor de la propuesta del hacker, con una tasa de sí del 99.9% de aproximadamente 33 millones de tokens MNGO, aunque solo una dirección de billetera es responsable de la mayor parte de la votación. A medida que avanza DAO, este está extremadamente centralizado, y la mayoría de los votos de gobierno se deciden con solo un puñado de direcciones.

Se requieren otros 67 millones de votos a favor para que la propuesta supere el umbral de quórum durante el período de votación de tres días.

Manipulación del oráculo de precios

Mientras continúa la consulta y la investigación, los administradores de la plataforma han solicitado a los usuarios que dejen de depositar activos hasta que la situación se aclare.

Los dapps de préstamo y préstamo se basan en oráculos para extraer datos de la cadena para tokens específicos. La manipulación ocurre cuando los protocolos, como las fuentes de datos, se corrompen, lo que permite transacciones que no estaban previstas.

En el caso de Mango, el atacante pudo manipular el valor de su garantía a través de la plataforma antes de obtener "préstamos masivos" por un total de $ 112,199,876 de la firma de auditoría de seguridad y tesorería de Mango. NutriaSec informó en Twitter.

El fundador de OtterSec, Robert Chen, confirmó la cifra a Blockworks, quien dijo que se sospechaba que la manipulación de precios había ocurrido en intercambios centralizados que Mango usó para hacer referencia al valor de la garantía.

El precio de MNGO subió brevemente un 300% a $0.15 en el espacio de 10 minutos en el intercambio FTX, luego cayó un 88% a menos de $0.02 después del ataque.

El desarrollador de Solana, Tom Geshuri, fue el primero en llamar la atención de la firma de auditoría de seguridad sobre el truco.

Gesury le dijo a Blockworks que el pirata informático usó $ 10 millones para intercambiar contratos perpetuos de Mango y luego un estimado de $ 3 millones para aumentar el precio de MNGO y ejecutar el plan, antes de que los participantes del mercado se enteraran del esquema y comenzaran a deshacerse de sus tokens.

Poco después de la publicación en Twitter de OtterSec, Mango emitió un comunicado en el que decía que estaban tomando medidas para que terceros congelaran los fondos en tránsito.

“Deshabilitaremos los depósitos en la parte delantera como medida de precaución y lo mantendremos informado a medida que evolucione la situación”, dijo el grupo. dicho a través de Twitter.

Blockworks intentó contactar a varios administradores en el canal Mango Discord pero no tuvo éxito.

Varios protocolos se han visto afectados por tales ataques solo este año, incluida la plataforma DeFi Inverse Finance para 5.8 millones de dólares en junio y la plataforma de préstamo de monedas estables Fortress Protocol para 3 millones de dólares En Mayo.

El ataque contra Mango se produce menos de una semana después de que la propia red de Binance, BNB Chain, fuera atacada por cientos de millones de dólares a través de un exploit de puente de cadena cruzada. El monto sustraído fue contenido en alrededor de $ 100 millones.

Asistir DAS:LONDRES y escuche cómo las mayores instituciones de TradFi y criptografía ven el futuro de la adopción institucional de criptografía. Registro haga clic aquí