Les marchés de la mangue mutilés par Oracle Manipulation pour 112 millions de dollars

Mango Markets, une plateforme de trading de finance décentralisée (DeFi) sur la blockchain Solana, a déclaré mardi qu'elle enquêtait sur un piratage d'une valeur d'environ 112 millions de dollars en actifs numériques.

Mango a déclaré que le pirate avait pu drainer des fonds de sa plate-forme en utilisant une technique connue sous le nom de manipulation de prix oracle – une forme d'attaque économique qui a déjà frappé d'autres protocoles DeFi.

L'acteur a réussi à retirer divers actifs numériques – principalement des stablecoins, dont 53.7 millions de dollars en USD Coin (USDC) et 3.2 millions de dollars en Tether (USDT) – mais aussi solana (SOL).

Dans une tournure inhabituelle, ils sont propose de revenir une partie des fonds volés, à savoir Marinade jalonné solana (MSOL), un dérivé de jalonnement, le SOL natif et le propre jeton de gouvernance MNGO de la plateforme. Le reste, le coupable le revendique comme une "prime".

C'est, bien sûr, si la communauté DAO de Mango vote oui sur la proposition du voleur.

«En votant pour cette proposition, les détenteurs de jetons de mangue acceptent de payer cette prime et de rembourser la créance irrécouvrable auprès du Trésor, et renoncent à toute réclamation potentielle contre des comptes avec une créance irrécouvrable, et ne poursuivront aucune enquête criminelle ou gel de fonds une fois les jetons sont renvoyés comme décrit ci-dessus », l'agresseur a écrit sur le forum de gouvernance du protocole.

Le pirate informatique demande à Mango d'utiliser sa réserve de trésorerie de 70 millions USDC pour rembourser la «dette irrécouvrable». Cette dette découle d'une incident en juin lorsque la communauté Mango associés avec un autre protocole de prêt et d'emprunt basé sur Solana, Solend, pour faire face à un risque systémique causé par un seul gros emprunteur, à risque de liquidation, qui met en péril l'ensemble de l'écosystème Solana DeFi.

Le Mango DAO, ou les gardiens du protocole, ne devrait pas non plus poursuivre d'enquêtes criminelles ni geler les fonds de l'attaquant - via des pièces stables centralisées comme l'USDC et l'USDT - une fois les crypto-actifs restitués.

Mais tous les actifs ne seront pas restitués ; alors qu'un montant définitif pour la prime n'a pas été donné, on peut supposer d'après les jetons omis du piratage initial que l'attaquant demande de garder bien plus de la moitié de ce qu'il a volé - bien plus que la plupart des pirates "chapeau blanc" ou chasseurs de primes d'insectes reçoivent généralement.

Pourtant, les membres de Mango DAO ont jusqu'à présent voté en faveur de la proposition du pirate informatique, avec un taux de oui de 99.9 % sur environ 33 millions de jetons MNGO - bien qu'une seule adresse de portefeuille soit responsable de la part du lion du vote. En tant que DAO, celui-ci est extrêmement centralisé, la plupart des votes de gouvernance étant décidés par une poignée d'adresses.

67 millions de votes supplémentaires sont nécessaires pour que la proposition franchisse un seuil de quorum pendant la période de vote de trois jours.

Manipulation oracle des prix

Alors que la consultation et l'enquête se poursuivent, les intendants de la plateforme ont demandé aux utilisateurs de cesser de déposer des actifs jusqu'à ce que la situation devienne plus claire.

Les dapps d'emprunt et de prêt s'appuient sur des oracles pour extraire des données en chaîne pour des jetons spécifiques. La manipulation se produit lorsque les protocoles tels que les flux de données sont corrompus, permettant des transactions qui n'étaient pas prévues.

Dans le cas de Mango, l'attaquant a pu manipuler leur valeur collatérale via la plateforme avant de contracter des "prêts massifs" totalisant 112,199,876 XNUMX XNUMX $ auprès de la trésorerie de Mango, cabinet d'audit de sécurité. OtterSec signalé sur Twitter.

Le fondateur d'OtterSec, Robert Chen, a confirmé le chiffre à Blockworks qui a déclaré que la manipulation des prix était soupçonnée d'avoir eu lieu sur des bourses centralisées que Mango utilisait pour référencer la valeur de la garantie.

Le prix de MNGO a brièvement grimpé d'environ 300 % à 0.15 $ en l'espace de 10 minutes sur la bourse FTX, puis a chuté de 88 % à moins de 0.02 $ après l'attaque.

Le développeur de Solana, Tom Geshury, a été le premier à porter le piratage à l'attention de la société d'audit de sécurité.

Geshury a déclaré à Blockworks que le pirate informatique avait utilisé 10 millions de dollars pour auto-échanger des contrats perpétuels Mango, puis environ 3 millions de dollars pour pomper le prix de MNGO et exécuter le plan, avant que les acteurs du marché n'aient vent du stratagème et ne commencent à jeter leurs jetons.

Peu de temps après la publication sur Twitter d'OtterSec, Mango a publié une déclaration indiquant qu'ils prenaient des mesures pour que des tiers gèlent les fonds en vol.

"Nous désactiverons les dépôts sur le front-end par mesure de précaution et vous tiendrons au courant de l'évolution de la situation", a déclaré le groupe. dit via Twitter.

Blockworks a tenté de contacter plusieurs administrateurs sur le canal Mango Discord, mais sans succès.

Un certain nombre de protocoles ont été touchés par de telles attaques cette année seulement, notamment la plateforme DeFi Inverse Finance pour 5.8 millions de dollars en juin et la plate-forme de prêt de pièces stables Fortress Protocol pour 3 millions de dollars en mai.

L'attaque contre Mango survient moins d'une semaine après que le propre réseau de Binance, BNB Chain, a été ciblé pour des centaines de millions de dollars via un exploit de pont inter-chaînes. La somme volée était contenue à environ 100 millions de dollars.

Participer DAS : LONDRES et découvrez comment les plus grandes institutions TradFi et crypto voient l'avenir de l'adoption institutionnelle de la crypto. S'inscrire ici.