Протокол Mango Markets - REKT

В довершение ко вчерашним слухам, эксплоитам и действиям SEC флагманский протокол для маржинальной торговли Соланы оказался rekt, потеряв девятизначную сумму из-за действий хорошо финансируемого рыночного манипулятора.

Злоумышленнику удалось взвинтить цену нативного токена Mango Markets, MNGO, и слить ликвидность из их основного пула, оставив протоколу $115 миллионов плохого долга.

В первом объявлении команда призвала пользователей не депонировать, и попросила хакера связаться с ними для обсуждения баг баунти.

Странно, они не очень-то хотели предлагать баунти, когда о проблеме заговорили в Discord-канале проекта в марте.

В присущем DeFi стиле злоумышленник воспользовался своими только что приобретенными токенами ответственности, чтобы предложить решение проблемы, которую он сам же и создал.

Согласно его предложению, Mango выплачивает хакеру баунти размером в ~$65M и не продолжает криминальное расследование.

Приз за то, что отгадаете, как хакер проголосовал по этому предложению, мы давать не будем...

Добро пожаловать в будущее финансов.

Источник: Joshua Lim

Адрес хакера: yUJw9a2PyoqKkH47i4yEGf4WXomSHMiK7Lp29Xs2NqM

На адрес хакера поступило свыше $5M (2M и 3.5M USDC) с FTX, они были депонированы в Mango Markets и использованы для того, чтобы открыть большую позицию в MNGO-PERP.

Ведя встречную торговлю против этой позиции с другого аккаунта, злоумышленнику удалось массивно взвинтить спотовую цену токена MNGO с $0.03 до $0.91. Пока цена MNGO оставалась высокой, злоумышленник мог слить займовые пулы, используя нереализованную прибыль от длинной позиции в качестве залога.

Аккаунт злоумышленника на Mango Markets отображает $115M дефицита. Взятые в долг активы перечислены ниже:

Экстремальное манипулирование ценой стало возможным из-за низкой ликвидности и маленького объема токена MNGO. После нескольких сбивчивых сообщений Mango Markets позже пояснили, что инцидент произошел не по причине сбоя оракула, а скорее из-за реального манипулирования ценой.

В процессе накачивания цены было спровоцировано свыше 4000 ликвидаций по шортам, а в результате коллапса протокола TVL сети Solana упала больше чем на 20%.

В результате атаки была украдена вся имевшаяся в доступе ликвидность для займов, и $70М остаются в казне. Это значит, что дефицит на покрытие плохого долга после инцидента составляет приблизительно $50М, который хакер предлагает вернуть.

Управленческое голосование по предложению хакера открыто и, конечно же, он проголосовал "за" всеми своими 32 миллионами украденных голосов:

Предложение хакера позволило бы восстановить балансы пользователей и снова сделать протокол рабочим, по сути, начав все с нуля. И, судя по обозначенным приоритетам протокола Mango Markets, похоже что принятие предложения ответит на все их требования…

Но, конечно же, за такое поведение нельзя выдать награду в виде "баунти" суммой в ~$65M, а это все оставшиеся USDC, BTC, USDT, и SRM?

Насколько "решающим" является голосование ДАО? Законов относительно управленческих голосований в DeFi не существует, поэтому этот случай станет прецедентом.

Если система голосования с использованием токенов останется в силе, то наверняка произойдет еще больше враждебных захватов, если не со стороны хакеров, то со стороны конкурирующих организаций. Такое уже происходит в традиционных финансах, но DeFi или регуляторам придется разрабатывать свои собственные методы для защиты своих систем управления от потенциальных плохих игроков.

Если бы только Mango выплатили баунти в марте, и не дали атаке произойти с самого начала...

Похожая атака на протокол Venus в прошлом году (не путать с недавним инцидентом, имеющим отношение к краху Luna), вызвала подозрения у одного из пользователей из сообщества Mango больше полугода назад.

Почему, получив предупреждение настолько заранее, они не смогли предотвратить эту атаку?

REKT представляет собой общественную площадку для анонимных авторов. Мы не несём ответственность за выражаемые точки зрения или контент на этом веб-сайте.

Пожертвование (ETH / ERC20): 0x3C5c2F4bCeC51a36494682f91Dbc6cA7c63B514C

Дисклеймер:

REKT не несет никакой ответственности за любое содержание, размещенное на нашем Веб-сайте или имеющее какое-либо отношение к оказываемым нами Услугам, независимо от того, было ли оно опубликовано или создано Анонимным Автором нашего Веб-сайта или REKT. Не смотря на то, что мы устанавливаем правила поведения и нормы публикаций для Анонимных Авторов, мы не контролируем и не несем ответственность за содержание публикаций Анонимных Авторов, а также за то, чем делятся и что передают Авторы с помощью нашего Сайта и наших Сервисов, и не несем ответственность за любое оскорбительное, неуместное, непристойное, незаконное или спорное содержание, с которым вы можете столкнуться на нашем Веб-сайте и на наших Сервисах. REKT не несет ответственность за поведение, будь то онлайн или офлайн, любого пользователя нашего Веб-сайта или наших Сервисов.