这个黑客不简单

作者:Beosin

封面:Photo by Markus Spiske on Unsplash

北京时间今天清晨,Beosin 鹰眼-Web3 安全预警与监控平台监测显示,Solana 生态去中心化交易平台 Mango 遭遇黑客攻击,影响高达 1.16 亿美元。

根据 Odaily 星球日报的报道,Mango 官方随后发推文称正在采取措施应对,并希望黑客能主动联系商量还款事宜(可以保留部分作为赏金):“我们正在采取措施让第三方冻结流动资金。作为预防措施,我们将在前端禁用存款,并将随着情况的发展提供最新信息。”

与以往攻击事件的剧情走向不同,这次的黑客 “戏瘾很足”,其在 realms 上发布了一项新的治理提案:希望 Mango 官方使用项目国库资金(7000 万美元)偿还用户坏账;如果官方同意,黑客将返还部分被盗资金,同时希望免受刑事调查或冻结资产。有加密爱好者评论称,Mango 黑客算是将 DeFi 与 DAO 玩得明白。

截至目前,该提案获得 3290 万投票赞成,其中 3241 万票由黑客自己所投,距离通过门槛(6709 万票)还有一半的距离。

针对本次事件,Beosin 安全团队进行了分析。_“价格操纵” 攻击手法讲解

黑客使用了两个账户,一共 1000 万 USDT 起始资金。

第一步,攻击者向 Mango 市场存入了 5MUSDC。

图片

第二步,攻击者在 MNGO-ERP 市场创建了一个 483M 的 PlacePerpOrder2 头寸。

图片

第三步,MNGO 的价格被操纵,从 0.0382 美元到 0.91 美元,通过使用一个单独的账户(账户 2)对其头寸进行对手交易。

图片

Account 2

图片

账户 2 现在有 483*(0.91-0.03298 美元)=4.23 亿美元,这使得攻击者可以借出 1.16 亿美元的资金。_项目方向黑客妥协?

该黑客在 Mango 治理上提出了一个提案,试图通过谈判获得赏金。该提案要求 Mango Treasury 支付 7000 万以偿还坏账。黑客将放弃一半的收益以避免法律起诉。 

图片
图片

据了解,目前项目国库资金约为 1.44 亿美元,其中包括价值 8850 万美元的 MNGO 代币以及近 6000 万美元的 USDC。

黑客表示,如果官方同意上述方案,将返还部分被盗资金,同时希望不会被进行刑事调查或冻结资金。“如果这个提案通过,我将把这个账户中的 MSOL、SOL 和 MNGO 发送到 Mango 团队公布的地址。Mango 项目国库将用于覆盖协议中剩余的坏账,所有坏账的用户将得到完整补偿……一旦代币如上述所述被送回,将不会进行任何刑事调查或冻结资金。”

图片

根据前文统计可以得知,黑客计划送回的资产金额大约是 4943 万美元,约为被盗资金的 42%,这意味着近半数的被盗资产被黑客留下作为「赏金」,这一比例远高于以往攻击事件中官方所承诺的上限。

Mango 官方表示,目前最好的解决方式是与攻击者进行沟通。“Mango DAO 的优先事项是:防止任何进一步的不必要损失、确保 Mango 协议的存款人资金安全、尝试挽救 Mango DAO 的一些价值。Mango 认为解决此问题的最具建设性的方法是继续与负责该事件并控制从协议中移除的资金的人沟通,以尝试友好地解决问题。”

目前尚不清楚官方最终是否会同意该提案并进行实施。截至发稿前,黑客提案获得 3290 万投票赞成,其中 3241 万票由黑客自己所投,距离通过门槛 6709 万票还有不小的距离。

备注:

除技术分析部分,部分内容来自 Odaily 星球日报的报道

免责声明:作为区块链信息平台,本站所发布文章仅代表作者及嘉宾个人观点,与 Web3Caff 立场无关。文章内的信息仅供参考,均不构成任何投资建议及要约,并请您遵守所在国家或地区的相关法律法规。