Angripare bakom $116M Mango Markets Exploit Eyes $65M Bounty

I vad som kan bli ett nytt rekord för DeFi, utnyttjades Mango Markets, Temple DAO och RabbySwap alla den 11 oktober

Mango Markets, en marginalhandels- och utlåningsplattform på Solana blockchain, var utnyttjas till ett belopp av 116 miljoner dollar den 11 oktober, sa företaget på Twitter. 

Angriparen lyckades blåsa upp priset på plattformens inhemska MNGO-token och tömma all likviditet från protokollet, enligt Joshua Lim, chef för derivat på Genesis Global Trading. 

Teamet har sedan dess pausat både insättningar och uttag på plattformen. Den har bett hackaren att lämna tillbaka pengarna och göra anspråk på en "white-hat"-premie.

Bara förra veckan använde Transit Finance en liknande strategi för att ta itu med en hacker som skapade ett utnyttjande av växlingsaggregatet på 29 miljoner dollar. Den skyldige lämnade tillbaka pengarna till protokollet och krävde en prispeng på $677,000 XNUMX.

Den senaste attacken kommer under en period av rekordstora utnyttjande av DeFi, eftersom tre andra protokoll avslöjade säkerhetsbrister inom 24 timmar.

TempleDAO var hackad för 2.3 miljoner dollar. Sedan Supremacy Inc. beskrives att ParaSwaps deployer-plånbok äventyrades på grund av en svordomsexploatering. Detta var samma attackvektor som användes i Wintermutes $ 160 miljoner hack, redan i september. ParaSwap har sedan dess sade att medel inte är i riskzonen.

Och den tredje hacka var av Rabby Swap, som bad användare att återkalla åtkomst till sina smarta kontrakt. Användare av Rabby Wallet, men inte Rabby Swap, är inte i riskzonen.

Prismanipulation

Förra året, Mango Markets insamlat 70 miljoner USD från en MNGO-tokenförsäljning.

Joshua Lim bröt ner hela incidenten i en Twitter-tråden. Enligt Lim använde hackern två konton med $5M USDC i varje för att finansiera MNGO-USD perp. 

Enligt Lims analys sålde hackaren 483 miljoner MNGO eviga terminer från konto A och köpte sedan samma instrument med konto B till ett pris av $0.0382. Därefter fortsatte hackaren att manipulera priset på MNGO-tokens på spotmarknaden, som gick så högt som $0.91, sa Lim. 

Detta resulterade i att hackaren tjänade 423 miljoner dollar i orealiserad vinst, vilket var tillräckligt för att ta ett lån på 116 miljoner dollar. Detta dränerade plattformen på all dess likviditet. 

Resultatet: felet låg i den ekonomiska designen av plattformen istället för de orakel som plattformen trycker på för att ta emot prisdata. Detta var confirmed av Mango Markets-teamet.

Sam Bankman-Fried, VD för FTX, sade hackaren använde FTX för att låna 5.5 miljoner USDC-tokens. Han sa också att FTX undersöker transaktionen och kommer att vidta lämpliga åtgärder.

Som ett resultat av detta hack, MNG sjönk till den lägsta någonsin på $0.0174 men den har ökat med 62% sedan dess.

Hacker friar till DAO

Den 12 oktober gjorde hackaren en styrning förslag där han föreslog att plattformen skulle använda sina 70 miljoner USDC i reserver för att återbetala osäkra fordringar. 

Mycket av de osäkra skulderna var genereras när Mango Markets slog sig ihop med Solend, ett utlåningsprotokoll på Solanas blockchain, för att ta itu med den riskabla skulden för en stor SOL-innehavare redan i juni. 

Om förslaget går igenom hävdar hackaren att de kommer att skicka tillbaka MNGO-, SOL- och MSOL-tokens till en adress som specificerats av Mango-teamet, vilket skulle uppgå till $51M. 

Hackaren skulle dock få behålla de återstående $65 miljonerna som en belöning. Inga rättsliga åtgärder skulle vidtas mot dem, och deras medel kommer inte heller att frysas.

I en twist använde hackaren stulna MNGO-tokens för att rösta för förslaget, som representerar 0.71 % av det totala utbudet. 

Förslaget kräver ytterligare 66.74 miljoner ja-röster för att godkänna beslutförhet och upphör den 15 oktober.