Le 18 octobre, Moola Market - une plate-forme de prêt de crypto de taille décente - a été exploitée via la manipulation des prix de son jeton natif, MOO, qui a une liquidité relativement faible. Cependant, CELO - un écosystème dont Moola Markets fait partie - ne le fait pas.
L'exploit était de nature similaire au récent fiasco de Mango Markets, car l'attaquant a utilisé le jeton natif d'une plate-forme avec une faible liquidité pour effectuer une série de transactions inhabituelles qui, bien que techniquement non illégales, constituent un abus de la plate-forme.
Prix MOO augmenté de 6,400 XNUMX%
Afin de générer un énorme paiement, l'attaquant a acheté pour environ 45 XNUMX $ de MOO, qui ont ensuite été déposés en garantie pour emprunter CELO à la plate-forme. Rien d'anormal jusqu'à présent. Cependant, l'attaquant a utilisé le CELO emprunté pour acheter plus de MOO.
Cette récursivité alternée consistant à acheter un jeton et à l'utiliser comme garantie pour l'autre a été répétée plusieurs fois. Si cet effort avait été réalisé avec deux jetons à liquidité élevée, les effets sur leurs prix auraient été négligeables.
Cependant, étant donné que MOO est un jeton à très faible liquidité, l'achat constant de MOO a été considéré par la blockchain comme un intérêt soudain pour le jeton, faisant grimper le prix de 6,400 XNUMX %. L'équipe de Moola n'a pas tardé à remarquer le méfait.
Nous enquêtons activement sur un incident sur @Moola_Market. Toutes les activités sur Moola ont été suspendues. Veuillez ne pas échanger de mTokens.
À l'exploiteur, nous avons contacté les forces de l'ordre et pris des mesures pour rendre difficile la liquidation des fonds. Nous sommes disposés à négocier un…
– Marché Moola 🐮 (@Moola_Market) 18 octobre 2022
Malheureusement, au moment où ils ont remarqué que le commerçant entreprenant montrait un intérêt excessif pour le jeton, l'attaquant a pu manipuler le prix de MOO suffisamment haut pour acheter un total de 1.2 million de dollars de MOO, 740 644 $ d'euros CELO ( cEUR), 6.6 9.1 $ CELO USD (cUSD) et 45 millions $ de CELO. Au total, environ XNUMX millions de dollars de fonds ont été empruntés, à partir d'un dépôt initial de XNUMX XNUMX dollars.
Se remettre sur les rails
Une fois que les développeurs de Moola ont remarqué les transactions, ils ont immédiatement contacté l'attaquant via Twitter, promettant une action en justice si les fonds n'étaient pas restitués dans les 24 heures. Il est important de noter que la plate-forme aurait eu un recours légal limité en cas de refus de l'attaquant.
Cependant, les deux parties semblent être parvenues à un accord assez rapidement.
"Suite à l'incident d'aujourd'hui, 93.1 % des fonds ont été restitués à la multi-signature de gouvernance Moola. Nous avons continué à suspendre toutes les activités sur Moola et nous ferons un suivi avec la communauté des prochaines étapes et pour redémarrer en toute sécurité les opérations du protocole Moola.
Les 500 1,000 $ restants semblent représenter une prime de bogue pour l'attaquant entreprenant - une somme bien inférieure à celle qu'ils avaient initialement gagnée, mais néanmoins un retour de 45 XNUMX %+ sur son investissement initial de XNUMX XNUMX $.
100 $ gratuits Binance (exclusif) : Utilisez ce lien pour vous inscrire et recevoir 100 $ gratuits et 10 % de réduction sur les frais de Binance Futures le premier mois (conditions).
Offre spéciale PrimeXBT: Utilisez ce lien pour vous inscrire et entrer le code POTATO50 pour recevoir jusqu'à 7,000 XNUMX $ sur vos dépôts.
Source : https://cryptopotato.com/making-500k-in-a-day-moola-market-hacker-gets-a-bounty-and-returns-stolen-funds/