10월 12일, 솔라나 기반의 탈중앙화 금융 플랫폼인 망고가 약 1억 1,600만 달러에 악용되었습니다.
또한 Mango는 해커가 DAO 제안을 조작하면서 2차 공격을 받았습니다.
1. CertiK Skynet의 심층 분석에 따르면 정확한 공격 계획은 다음과 같습니다.
먼저, 공격자는 첫 번째 계정(CQvKSNnY...)에 500만 달러를 주입한 후 4억 8,300만 단위의 MNGO-PERP를 공매도했습니다.
그 후 공격자는 두 번째 계정(4ND8FVPjU...)에 자금을 조달한 다음 단위당 $0.0382에 4억 8,300만 단위의 MNGO-PERP를 갈망했습니다.
공격자는 Switchboard 및 Pyth oracles에서 MNGO의 시장 가격을 $0.15 이상으로 조작하여 두 번째 계정에서 이익을 얻었고, 추가로 두 번째 계정의 시장 가치가 증가했습니다.
얼마 지나지 않아 두 번째 계정은 BTC(sollet), USDT, SOL, mSOL 및 USDC를 포함하여 Mango의 다른 토큰에 대한 차용을 최대화하는 데 사용되어 전송되었습니다. 계정에서 추출한 순 가치는 약 1억 1,600만 달러였습니다.
2. Mango의 장대한 DAO 거버넌스 조작
자산을 훔친 후 해커는 Mango에서 제안을 시작했습니다. -> 불량 부채를 상환하기 위해 재무부에서 7천만 달러를 사용합니다.
제안이 승인된 후 약 4천만 달러 상당의 토큰이 해커에 의해 Mango에 반환됩니다. 해커는 또한 해킹당한 나머지 자금을 버그 바운티로 간주하고 범죄 수사를 추구하지 않을 것을 요청했습니다.
그런 다음 해커는 훔친 거버넌스 토큰을 사용하여 "예"로 투표했습니다. 제안서에.
참고: 현재 투표 참가자 수가 3천만 명을 초과했으며, 승인 투표 수가 1억 명을 초과해야 제안이 통과될 수 있습니다.
3. 이벤트의 영향
탈중앙화 스테이블코인 UXD가 포함된 UXD 프로토콜은 공식적으로 Mango에서 $19,986,134.9037의 총 노출을 발표하고 사용자에게 보험 기금이 손실을 충당하기에 충분한 자본을 가지고 있음을 확신시켰습니다.
솔라나의 TVL(Total Value Locked)도 같은 날 11시 기준 10억4000만 달러로 24시간 동안 19.9% 하락했다.
수익률 집계 플랫폼 TulipProtocol은 USDC/Ray 전략 보관소에서 약 250만 달러의 USDC와 66,721 RAY를 잃어 망고에서 노출이 제한적입니다.
4. Mango의 전체 익스플로잇 타임라인
10월 12일 오전 7시
OtterSec은 Solana 기반 분산 금융 플랫폼 Mango가 1억 달러 이상 고갈되었다고 트윗했습니다.
10월 12일 오전 7:36
잠재적인 1억 달러 공격에 대응하여 망고는 해커가 오라클 가격 조작을 통해 망고에서 자금을 추출한 사건을 조사하고 있으며 제3자가 유동성을 동결하도록 조치를 취하고 있다고 말했습니다.
예방 조치로 Mango는 프런트 엔드에서 예금을 비활성화하고 상황이 발전함에 따라 업데이트를 제공할 것이며 자금 반환에 대한 포상금에 대해 논의할 수 있습니다.
10월 12일 오전 8시 20분
UXDProtocol은 Mango에서 $19,986,134.9037의 총 익스포저가 있다고 말했으며 사용자에게 보험 기금이 손실을 충당하기에 충분한 자본을 가지고 있다고 확신했습니다. 사용자는 Mango가 복구되면 이 자금을 사용할 수도 있습니다.
10월 12일 오전 9시
자산을 훔친 후 해커는 Mango에서 재무부에서 7천만 달러를 사용하여 악성 부채를 상환하자는 제안을 시작했습니다.
제안이 승인된 후 약 4천만 달러 상당의 토큰이 해커에 의해 Mango에 반환됩니다. 해커는 또한 해킹당한 나머지 자금을 버그 바운티로 간주하고 범죄 수사를 추구하지 않을 것을 요청했습니다.
그런 다음 해커는 훔친 거버넌스 토큰을 사용하여 "예"로 투표했습니다. 제안서에.
참고: 현재 투표 참가자 수가 3천만 명을 초과했으며, 승인 투표 수가 1억 명을 초과해야 제안이 통과될 수 있습니다.
10월 12일 오후 12:30
Mango는 공격에 대한 자세한 보고서를 발표했습니다.
USDC로 자금을 조달한 2개의 계정이 MNGO-PERP에서 대규모 포지션을 차지했습니다.
다양한 거래소(FTX, Ascendex)의 기본 MNGO/USD 가격은 몇 분 만에 5-10배 가격 상승을 경험했습니다.
이로 인해 Switchboard 및 Pyth 오라클은 MNGO 벤치마크 가격을 $0.15 이상으로 업데이트했습니다.
이로 인해 미실현 이익으로 인해 MNGO-PERP 롱 계정의 가치가 시가 기준으로 증가했습니다.
이를 통해 계정은 Mango 프로토콜에서 BTC(sollet), USDT, SOL, mSOL, USDC를 빌리고 인출할 수 있었으며 플랫폼의 1억 9000만 달러 등가 예금에서 사용할 수 있는 차용을 최대화했습니다.
10월 12일 10시 37분에 사용자가 프로토콜과 더 이상 상호 작용하지 못하도록 Mango 프로그램 지침이 동결되었습니다.
Mango DAO의 우선 순위는 더 이상의 불필요한 손실을 방지하고 Mango Protocol을 위한 예금자 자금을 확보하고 Mango DAO의 가치 일부를 회수하는 것입니다.
Mango는 이 문제를 해결하는 가장 건설적인 방법은 사건에 책임이 있는 사람들과 계속 소통하고 프로토콜에서 제거된 자금을 통제하여 원만하게 문제를 해결하는 것이라고 믿습니다.