[特集] Mango Markets: 1 億件のエクスプロイトのジューシーなターゲット

10 月 12 日、Solana に基づく分散型金融プラットフォームである Mango は、約 1 億 1,600 万ドルで悪用されました。

さらに、Mango は DAO の提案を操作したハッカーによる 2 次攻撃も受けました。

1. CertiK Skynet による詳細な分析によると、攻撃の正確な計画は次のとおりです。

まず、攻撃者は最初のアカウント (CQvKSNnY...) に 500 万ドルを注入し、続いて 4 億 8,300 万ユニットの MNGO-PERP を空売りしました。

その後、攻撃者は 2 番目のアカウント (4ND8FVPjU...) に資金を提供し、1 ユニットあたり 0.0382 ドルで 4 億 8,300 万ユニットの MNGO-PERP を要求しました。

攻撃者は、Switchboard と Pyth oracles で MNGO の市場価格を 0.15 ドル以上に操作することで 2 番目の口座で利益を上げ、さらに 2 番目の口座の価値を値洗いしました。

その直後、2 番目のアカウントは、BTC (sollet)、USDT、SOL、mSOL、および USDC を含む Mango の他のトークンの借り入れを最大化するために使用され、送金されました。アカウントによって抽出された正味価値は、合計で約 1 億 1,600 万ドルでした。

2. Mango の壮大な DAO ガバナンス操作

資産を盗んだ後、ハッカーは Mango で提案を開始しました ->国庫から 7000 万ドルを不良債権の返済に使用する。

提案が承認された後、約 4,000 万ドル相当のトークンがハッカーによって Mango に返還されます。ハッカーはまた、ハッキングされた残りの資金をバグ報奨金と見なし、犯罪捜査を行わないことを要求しました。

次に、ハッカーは盗んだガバナンス トークンを使用して「はい」と投票しました。提案について。

注: 現在、投票参加者数は 3,000 万人を超えており、承認投票数が 1 億を超えた場合にのみ、提案を可決することができます。

3. イベントの影響

UXD プロトコルと分散型ステーブルコイン UXD は、Mango の総エクスポージャーが 19,986,134.9037 ドルであることを公式に発表し、保険基金には損失をカバーするのに十分な資本があることをユーザーに保証しました。

Solana の Total Value Locked (TVL) も同日 11:00 に 10 億 4000 万ドルに減少し、24 時間で 19.9% 減少しました。

イールド アグリゲーション プラットフォームの TulipProtocol は、Mango でのエクスポージャーが限定的であり、USDC/Ray 戦略の保管庫のみが約 250 万 USDC と 66,721 RAY を失いました。

4. Mango の完全なエクスプロイトのタイムライン

10 月 12 日午前 7:00

OtterSec は、Solana ベースの分散型金融プラットフォーム Mango が 1 億ドル以上で流出したとツイートしました。

10 月 12 日午前 7 時 36 分

潜在的な1億ドルの攻撃に対応して、Mangoは、オラクルの価格操作を通じてMangoから資金を引き出すハッカーの事件を調査しており、第三者に流動性を凍結させるための措置を講じている.

予防措置として、Mango はフロント エンドでの入金を無効にし、状況の進展に応じて最新情報を提供し、資金の返還のための報奨金について話し合う用意があります。

10 月 12 日午前 8 時 20 分

UXDProtocol は、Mango で合計 19,986,134.9037 ドルのエクスポージャーがあると述べ、保険基金には損失をカバーするのに十分な資本があることをユーザーに保証しました。 Mango が回復したら、ユーザーはこれらの資金を引き換えることもできます。

10 月 12 日午前 9:00

資産を盗んだ後、ハッカーは Mango で国庫から 7,000 万ドルを使用して不良債権を返済するという提案を開始しました。

提案が承認された後、約 4,000 万ドル相当のトークンがハッカーによって Mango に返還されます。ハッカーはまた、ハッキングされた残りの資金をバグ報奨金と見なし、犯罪捜査を行わないことを要求しました。

次に、ハッカーは盗んだガバナンス トークンを使用して「はい」と投票しました。提案について。

注: 現在、投票参加者数は 3,000 万人を超えており、承認投票数が 1 億を超えた場合にのみ、提案を可決することができます。

10 月 12 日午後 12 時 30 分

Mango は攻撃に関する詳細なレポートを公開しました。

USDC で資金提供された 2 つの口座が、MNGO-PERP で特大のポジションを取りました。

さまざまな取引所 (FTX、Ascendex) の基礎となる MNGO/USD の価格は、ほんの数分で 5 ～ 10 倍の価格上昇を経験しました。

これにより、Switchboard と Pyth oracles は MNGO ベンチマーク価格を $0.15+ に更新しました。

これにより、未実現利益から MNGO-PERP をロングした口座の価値がさらに時価上昇しました。

これにより、アカウントはマンゴー プロトコルから BTC (ソレット)、USDT、SOL、mSOL、USDC を借りたり引き出したりすることができ、プラットフォーム上の 1 億 9000 万ドル相当の預金から利用できる借り入れを最大限に活用できました。

10 月 12 日の 10:37 に、Mango プログラムの命令が凍結され、ユーザーがそれ以上プロトコルを操作できなくなりました。

Mango DAO の優先事項は、これ以上の不必要な損失を防ぎ、Mango Protocol の預金者の資金を確保し、Mango DAO の価値の一部を救おうとすることです。

Mango は、これを解決する最も建設的な方法は、事件の責任者とのコミュニケーションを継続し、議定書から削除された資金を管理して問題を友好的に解決することであると考えています.