史上最強の“恨み”？マンゴー、ハッカーに遭遇「盗まれた」「DAO」ダブルクリック

https://www.jinse.com/blockchain/2461344.html

10月12日、Mango社はハッカーによる攻撃を受け、総額約1億1,600万ドルの損失を被ったほか、ハッカーによる代替攻撃や提案による攻撃も受けました。

ジンセファイナンスでは、皆様にご覧いただきやすいように、ハッカーの攻撃手法とイベント内容を整理しましたので、詳細は以下をご覧ください。

1. CertiK Skypeの分析によると、攻撃手法は以下の通り

1. まず、攻撃者は最初のアカウント (CQvKSNnY...) に 500 万ドルを注入し、4 億 8,300 万ユニットの MNGOperps を空売りしました。
2. 次に、攻撃者は 2 番目のアカウント (4ND8FVPjU...) に資金を注入し、1 単位あたり 0.0382 ドルの価格で 4 億 8,300 万単位の MNGOperps をロングしました。
3. 攻撃者は、価格オラクル（マンゴー市場の市場価格）に基づいて MNGO の価格を操作し、MNGO の価格を吊り上げ、2 番目のアカウントで利益を得ます。
4. 次に、攻撃者は 2 番目のアカウントを使用して、Mango 上の他のトークンを借用しました。次に、Mango のすべての流動性資金を外部に転送します。マンゴーの損失は総額約１億１６００万ドルとなった。

2.マンゴーはハッカーによってダブルクリックされ「盗まれ」「DAO」された

資産を盗んだ後、ハッカーはマンゴーに対して、不良債権の返済に財務省から7,000万ドルを使うという提案を開始した。

この提案が可決されると、ハッカーは約 4,000 万ドル相当のトークンを返すことになります。

ハッカーは盗んだガバナンストークンを使って提案に投票し、「同意」を選択します。

備考：現在、投票参加者数は3,000万人を超えており、賛成票数が1億票を超えないと可決されない

3. イベントの影響

1. ソラナ生態安定協定である UXDProtocol の公式声明: Mango 襲撃事件の影響を受けた UXDProtocol の資金総額は 19,986,134.9037 米ドルです。

2. このイベントの影響を受け、SolanaTVL (TotalValueLocked) は同日 11:00 時点で 10 億 4,000 万ドルまで下落し、24 時間で 19.9% 下落しました。

3. 収益集計会社 TulipProtocol は、Mango 事件の影響を受けた資金は約 250 万米ドルであると述べた

4. マンゴーが盗まれた時系列

10月12日 7:00

OtterSecはツイート:「Solanaをベースとする分散型金融プラットフォームであるMangoは、潜在的に1億ドルの攻撃を受けた。攻撃者はMangoの担保を操作することができた。彼らは一時的に担保の価値を高め、その後Mangoの財務省からそれを取得した」と述べた。借金がたくさんあります。

10月12日7時36分

1億ドル規模の攻撃の可能性への対応として、マンゴー社は、ハッカーがオラクルマシンの価格操作を通じてマンゴー社から資金を引き出した事件を調査しており、現在、第三者による流動性の凍結を認める措置を講じていると述べた。予防措置として、Mangoはフロントエンドでのデポジットを無効にし、状況の進展に応じて最新情報を提供し、返金された資金の報奨金について話し合うために電子メールを送信できると述べています。

10月12日8時20分

UXDProtocolは次のように述べています。「当社の保険基金は損失をカバーするのに十分です。UXDは完全に保護されており、MangoMarketsが悪用から回復すれば、ユーザーはそれを引き換えることができます。保険基金の総額は53,527,304.7757ドルです。UXDProtocolは、リスクの変化を最小限に抑えるためにUXDの鋳造を一時停止しました。」

10月12日9:00

Mango攻撃事件では、ハッカーはMango財務省にある約7,000万USDCを不良債権の返済に利用することを期待して提案を開始し、この提案が可決されれば、ハッカーは口座内のMSOL、SOL、MNGOを次のアドレスに送金する予定です。 Mango チームによって発行されました。

このハッカーはまた、「契約に残っているすべての不良債権はマンゴー財務省によって返済され、不良債権のないユーザーは影響を受けない。不良債権はすべてバグ報奨金/保険として扱われ、マンゴー保険基金によって支払われる」とも述べた。 MangoToken 保有者がこの提案を可決した場合、ボーナスを支払い、不良債権の返済に財務省を使用し、不良債権口座に対する潜在的な請求権を放棄することに同意することを意味します。トークンが上記のルールに従って返済されると、犯罪捜査または資産凍結」 提案の投票は 3 日以内に締め切ります。

10月12日12時30分

DeFiプラットフォームMango on Solanaは、攻撃事件に関する詳細なレポートを発表した。

北京時間10月12日6時頃、合意内で以下の出来事が発生した。USDCから資金提供を受けた2つの口座がMNGO-ERPで過剰なポジションを保持し、各取引所（FTX、Ascendex）のMNGO/USDの最下層で価格が変動した。数分以内に価格が 5 ～ 10 倍に上昇し、Switchboard と Pyth oracle は MNGO ベンチマーク価格を 0.15 ドルを超えて更新しました。

さらに含み益が発生すると、ロングMNGO-ERPの口座価値が市場価格に応じて増加し、Mango契約からBTC（ソレット）、USDT、SOL、mSOL、USDCを借り入れたり引き出したりすることができ、同等の価値が得られます。プラットフォーム上での預金は最大額まで借りられ、口座から純資産約1億ドルが引き出された。

10 月 12 日 10:37 に、Mango プログラムの命令は、ユーザーによるプロトコルとのそれ以上の対話を防ぐために凍結されました。 MangoDAO の優先事項は、さらなる不必要な損失を防ぐこと、Mango Protocol の預金者資金を確保すること、そして MangoDAO の価値の一部を回収することです。

マンゴー氏は、この問題を解決する最も建設的な方法は、事件の責任者とのコミュニケーションを継続し、議定書から削除された資金を管理して問題を友好的に解決しようとすることであると信じています。

上記の情報データは CertiK Skype から取得したものです。