Хакер украл более $100 млн с DeFi-платформы Mango Markets
Неизвестный вывел цифровые активы на сумму около $116 млн с торговой и кредитной DeFi-платформы Mango Markets на базе Solana.
#CertiKSkynetAlert 🚨
— CertiK Alert (@CertiKAlert) October 12, 2022
On October 11, 2022 at 11:19 PM UTC, Mango Market was attacked for a total loss of roughly ~$116M.
The attacker was able to manipulate the price of the MNGO token and exploitatively borrowed more assets than what they were supposed to be able to.
🧵… pic.twitter.com/HSIUsPYyA4
Злоумышленник использовал депозит на сумму 5 млн USDC для манипуляций с ценой нативного токена MNGO через открытие крупной маржинальной позиции в бессрочных свопах. Из-за низкой ликвидности на спотовом рынке цена актива кратковременно подскочила с $0,038 до $0,91 — приблизительно на 2295%.
2/ The attacker then began manipulating the price of MNGO on the spot MNGO/USDC market.
— CertiK Alert (@CertiKAlert) October 12, 2022
From a stable low of ~$0.038 prior to the attack, they pushed it up to a peak of $0.91. pic.twitter.com/qLvlMZboAa
Увеличение стоимости залога в MNGO позволило хакеру занять и вывести из протокола средства в нескольких монетах.
5. The attacker has stolen the assets worth around $114M pic.twitter.com/K0nQNLdCOU
— Hacken🇺🇦 at Devcon 🇨🇴 (@hackenclub) October 11, 2022
«В настоящее время мы расследуем инцидент, в результате которого хакер вывел средства из Mango с помощью манипулирования ценами оракула», — написала команда проекта.
We are currently investigating an incident where a hacker was able to drain funds from Mango via an oracle price manipulation.
— Mango (@mangomarkets) October 11, 2022
We are taking steps to have third parties freeze funds in flight. 1/
За сутки цена токена MNGO обвалилась более чем на 43% — до отметки $0,022 (CoinGecko). По данным DeFi Llama, стоимость заблокированных в протоколе средств упала до $200.
«Это не была атака манипулирования оракулом, а скорее классическая pump&dump. Самый старый риск в истории протоколов объединенного кредитования. Цена MNGO вышла за пределы легитимных $0,3 на пару минут. Оракулы сработали точно, просто плохие параметры риска», — прокомментировал инцидент аналитик под ником foobar.
This was *not* an oracle manipulation attack, rather a classic pump-and-dump on thinly traded books. The oldest risk in the book for pooled lending protocols. MNGO price was legitimately 30 cents for a couple minutes there. Oracles reported accurately, just bad risk parameters
— foobar (@0xfoobar) October 12, 2022
Команда Mango подтвердила, что оракулы работали «как должны были».
We want to clarify and add mention here that neither oracle providers have any fault here.
— Mango (@mangomarkets) October 12, 2022
The oracle price reporting worked as it should have. https://t.co/t34MYDrVRu
Напомним, за третий квартал 2022 года потери экосистемы Web3 от взломов и мошенничества составили $428,7 млн.
Из общего показателя на хакерские атаки пришлось $399 млн. Большую часть убытков принесли два инцидента — с кроссчейн-протоколом Nomad ($190 млн) и маркетмейкером Wintermute ($160 млн).
Читайте биткоин-новости ForkLog в нашем Telegram — новости криптовалют, курсы и аналитика.
Рассылки ForkLog: держите руку на пульсе биткоин-индустрии!