DeFi 平台 Mango 漏洞遭利用
區塊鏈安全公司 OtterSec 發現,基於 Solana 的去中心化金融平台 Mango 漏洞遭利用,攻擊者操縱了預言機喂價,並藉此從協議中榨取超 1.1 億美金的資產。
攻擊手法
攻擊者最初在 A 帳戶中轉入 500 萬美金,並在 MNGO 永續合約市場掛了一系列的賣單,之後又在 B 帳戶中轉入 500 萬美金,以 0.0382 美元的均價吃下這些賣單。之後,攻擊者操縱了 MNGO 的現貨市場,將 MNGO 代幣價格拉到 0.9 美元,這使得攻擊者的多頭倉位價值,提高到 4.39 億美金。
有了價值超 4 億美金的倉位,儘管這是未平倉損益,但在 Mango 協議的設計之下,駭客仍能將其充當為抵押品,輕鬆借出總價值 1.1 億美金的資產。Mango 協議的流動性幾乎全被抽乾了。
最後,被操縱的 MNGO 現貨價格回到原點,而攻擊者則在協議上留下了 1.1 億美元的壞帳。
攻擊資金來自何處?
據稱駭客在攻擊事件中所使用的起始資金來自 FTX 交易所,SBF 對此表示正在進行調查,並將會採取適當的行動。
操縱市場、操縱治理
就在攻擊發生後,駭客主動在治理論壇上發布提案表示,目前 Mango 金庫有大約 7000 萬美元可用於償還壞賬,自己將把賬戶中的 MSOL、SOL 和 MNGO 發送到 Mango 團隊公佈的地址,所有壞賬的用戶都將得到補償,而任何剩餘的壞賬都將被視為漏洞賞金,由 Mango 從保險基金中支付。
簡單來說,攻擊者的意思應該是,總計 1.1 億美金的壞帳,團隊自己承擔 7000 萬美金,攻擊者自己只願意還款 4000 萬美金,且攻擊者還要求,代幣送回後不要追究任何刑事責任。
該提案支持率高達 99.9%,其中有大部分的票來自駭客竊取的 MNGO 代幣。目前尚不清楚該提案是否具備有效性。
