Penyerang Di Balik Pasar Mangga $116M Mengekploitasi Mata Bounty $65M

Dalam Apa Yang Mungkin Menjadi Rekor Baru Untuk DeFi, Pasar Mangga, Temple DAO, dan RabbySwap Semuanya Dieksploitasi Pada 11 Oktober

Mango Markets, platform perdagangan margin dan pinjaman di blockchain Solana, adalah dieksploitasi senilai $116 juta pada 11 Oktober, kata perusahaan itu di Twitter. 

Penyerang berhasil menaikkan harga token MNGO asli platform dan menguras semua likuiditas dari protokol, menurut Yosua Lim, Kepala Derivatif di Genesis Global Trading. 

Sejak saat itu, tim telah menghentikan setoran dan penarikan di platform. Ia telah meminta peretas untuk mengembalikan dana dan mengklaim hadiah 'topi putih'.

Baru minggu lalu, Transit Finance menggunakan yang serupa strategi untuk berurusan dengan peretas yang merekayasa eksploitasi $29 juta dari agregator swap. Pelakunya mengembalikan dana ke protokol dan mengklaim hadiah $677,000.

Serangan terbaru ini datang dalam periode eksploitasi rekor di DeFi, karena tiga protokol lain mengungkapkan kerentanan keamanan dalam rentang 24 jam.

KuilDAO tadinya hack untuk $2.3 juta. Kemudian Supremasi Inc. diungkapkan bahwa dompet penyebar ParaSwap telah disusupi karena eksploitasi yang tidak senonoh. Ini adalah vektor serangan yang sama yang digunakan di Wintermute peretasan $160 juta, pada bulan September. ParaSwap memiliki sejak tersebut bahwa dana tidak berisiko.

Dan yang ketiga terjangan adalah dari Rabby Swap, yang meminta pengguna untuk mencabut akses ke kontrak pintar mereka. Pengguna Rabby Wallet, tetapi bukan Rabby Swap, tidak berisiko.

Manipulasi Harga

Tahun lalu, Pasar Mangga menonjol $70 juta dari penjualan token MNGO.

Joshua Lim merinci seluruh insiden di a Untaian Twitter. Menurut Lim, peretas menggunakan dua akun dengan masing-masing $5 juta USDC untuk mendanai pelaku MNGO-USD. 

Menurut analisis Lim, peretas menjual 483 juta MNGO perpetual futures dari Akun A, dan kemudian membeli instrumen yang sama menggunakan Akun B dengan harga $0.0382. Selanjutnya, peretas melanjutkan untuk memanipulasi harga token MNGO di pasar spot, yang mencapai $0.91, kata Lim. 

Hal ini mengakibatkan peretas menghasilkan $ 423 juta dalam keuntungan yang belum direalisasi, yang cukup untuk mengambil pinjaman $ 116 juta. Ini menguras platform dari semua likuiditasnya. 

Hasilnya: cacatnya ada pada desain ekonomi platform, bukan oracle yang disadap platform untuk menerima data harga. Ini confididekati oleh tim Pasar Mangga.

Sam Bankman-Fried, CEO FTX, tersebut peretas menggunakan FTX untuk meminjam 5.5 juta token USDC. Dia juga mengatakan FTX sedang menyelidiki transaksi tersebut dan akan mengambil tindakan yang sesuai.

Akibat peretasan ini, MNG merosot ke level terendah sepanjang masa di $0.0174 tetapi telah melonjak 62% sejak saat itu.

Peretas Mengusulkan ke DAO

Pada 12 Oktober, peretas membuat tata kelola usul di mana dia menyarankan agar platform menggunakan 70 juta USDC sebagai cadangan untuk membayar utang macet. 

Sebagian besar utang macet adalah dihasilkan ketika Mango Markets bekerja sama dengan Solend, protokol pinjaman di blockchain Solana, untuk mengatasi hutang berisiko dari pemegang SOL besar pada bulan Juni. 

Jika proposal lolos, peretas mengklaim bahwa mereka akan mengirim kembali token MNGO, SOL, dan MSOL ke alamat yang ditentukan oleh tim Mango, yang jumlahnya mencapai $51 juta. 

Namun, peretas akan menyimpan sisa $65 juta sebagai hadiah. Tidak ada tindakan hukum yang akan diambil terhadap mereka, dana mereka juga tidak akan dibekukan.

Secara bergantian, peretas menggunakan token MNGO yang dicuri untuk memilih mendukung proposal, yang mewakili 0.71% dari total pasokan. 

Proposal tersebut membutuhkan tambahan 66.74 juta suara ya untuk lulus kuorum, dan berakhir pada 15 Oktober.