Számos híradás szerint a Solana-alapú Mango Markets kereskedési és hitelezési platform jelentős hack célpontja volt. A támadó elképesztő 117 millió dollárt tudott kiszívni a Solana-alapú protokollból.
A feltörés csak egy héttel a BNB-lánc elleni támadás után történt, amelynek során a támadó 100 millió dollárt vont le a protokollból.
A 117 millió dolláros hack
SolanaA székhelyű Mango Markets-t kedden 117 millió dollárért feltörték. A csapat október 11-én tájékoztatta a felhasználókat az incidensről, tweetelve, hogy kivizsgálják a feltörést, és befagyasztják a hackerrel kapcsolatos pénzeszközöket. Hozzátették azt is, hogy elővigyázatosságból befagyasztják a betéteket.
„Jelenleg egy olyan incidenst vizsgálunk, amikor egy hacker egy orákulum-ármanipuláció révén pénzeszközöket tudott elszívni a Mango-tól. Lépéseket teszünk annak érdekében, hogy harmadik felek befagyaszthassák a menekülő pénzeszközöket. Elővigyázatosságból letiltjuk a betéteket a kezelőfelületen, és folyamatosan tájékoztatjuk Önt a helyzet alakulásáról.”
Az OtterSec blokklánc-auditáló webhely szerint a támadó fel tudta emelni a fedezet értékét, mielőtt kölcsönt vett volna fel a Mango kincstártól.
„Úgy tűnik, a támadó képes volt manipulálni a Mango-biztosítékukat. Átmenetileg megemelték a fedezeti értéküket, majd hatalmas kölcsönöket vettek fel a Mango kincstártól.”
Robert Chen, az OtterSec alapítója kijelentette, hogy a feltörést egy gazdasági tervezési hiba okozta. Hozzátette továbbá, hogy a Mango Markets már elismerte ezt a kockázatot.
A Hack részletei
A Blockchain biztonsági és könyvvizsgáló cég, a Cetik közzétett egy részletes post mortem a Mango Market feltöréséről, amelyben elmagyarázza, hogyan tudta a hacker kihasználni a tokent és végrehajtani a feltörést.
„A támadó két címet használt az MNGO – a Mango natív tokenjének és fedezeti eszközének – árának manipulálására 0.038 dollárról 0.91 dolláros csúcsra. Ez lehetővé tette számukra, hogy jelentős kölcsönt vegyenek fel MNGO-s fedezetük ellenében, ami körülbelül 117 millió dollárt tett ki, bár ez a szám ingadozik a hírre reagáló érintett tokenek ára miatt.”
A Hacken blokklánc biztonsági cég további részleteket osztott meg, hozzátéve, hogy a hacker 5 millió dollár USDC-vel kezdett a támadás végrehajtásához. Ezt megerősítette a Mangi Market hivatalos Twitter-fiókja is, amely azt írta Twitteren, hogy két USDC által finanszírozott számla hosszú pozíciót foglalt el az MNGO-PERP-ben. Mango hozzátette, hogy az MNGO/USD árai számos tőzsdén, például az FTX-en, perceken belül 5-10-szeres emelkedést tapasztaltak. A Mango csapata hozzátette, hogy egyetlen orákulum-szolgáltató sem hibázott, és kijelentette, hogy az orákulumár úgy működött, ahogyan kellett.
„Szeretnénk itt tisztázni és megemlíteni, hogy itt egyik orákulumszolgáltatónak sincs hibája. Az Oracle árjelentés úgy működött, ahogy kellett volna.”
A Mango már ismeri a sebezhetőséget
A Certik biztonsági és könyvvizsgáló cég felfedte, hogy ezt a sebezhetőséget már 2022 márciusában nyilvánosságra hozták a Mango számára, amikor a témát felvetették a hitelező platform Discord csatornáján.
„A sebezhetőség az MNGO/USDC piac szűkös likviditásából fakadt, amelyet az MNGO örökös swap árreferenciájaként használtak. Mivel csak néhány millió USDC állt a rendelkezésükre, a támadó 2,394%-kal tudta megemelni az MNGO árát. Ez a pontos támadási vektor nyilvánvalóan a Mango's Discord csatornáján merült fel még ez év márciusában.
Jogi nyilatkozat: Ez a cikk csak tájékoztató jellegű. Nem ajánlják fel, és nem kívánják felhasználni jogi, adóügyi, befektetési, pénzügyi vagy egyéb tanácsadásként.
Forrás: https://cryptodaily.co.uk/2022/10/mango-markets-hack-sees-attacker-siphon-off-117-million