北京时间2022年10月11日6:19,CertiK Skynet天网监测到Mango market遭到黑客攻击,截至目前已损失1.16亿美元。攻击者操纵MNGO代币的价格,并恶意借贷超出应有数额的资产。
攻击步骤
① 在此交易中,攻击者向第一个帐户(CQvKSNn...)提供了500万枚USDC。
② 攻击者在订单簿中提供了4.83亿单位的MNGO perps(做空)。
PantySwap官方称CertiK未经证实,迁移所有者疑为死地址:官方消息,对于安全公司CertiK称,PantySwap项目存在高风险,所有者(不是TimeLock)可以利用MasterChef的迁移功能来耗尽所有LP代币,有跑路风险,警告不要参与。PantySwap转发回复表示,正在与CertiK联系解决这个问题,因为他们在这里谈论“客观审查”,而甚至是未经证实,并质疑其分享“未经证实”的说法。此外,多名网友回复称迁移所有者是一个死地址,PantySwap对该说法进行了转发。[2021/6/7 23:17:32]
算法稳定币MITH.CASH超过Balancer跻身锁仓量排名前十:据DeBank数据显示,本文撰写时算法稳定币MITH.CASH锁仓量达7.358亿美元,超过自动化做市商Balancer,目前位列DeFi协议/项目锁仓量排行第9位。不过,MITH.CASH锁仓量距离13.74亿美元最高点已有所下跌。MITH.CASH 是派生自Basis Cash算法稳定币,包括锚定价1美元系统内部稳定币MIC (Mithril Cash) 和MIS (Mithril Share) ,MIS (Mithril Share) 代币持有者将成为系统中坚力量,为协议提供资源和指导。作为回报,Mithril Share 代币持有者将获得任何进入系统的新货币供应。[2021/1/4 16:23:35]
③ 之后攻击者向第二个账户(4ND8FVPjU...)注资。
Bitfinex新投票系统允许为EOS Block Producers投票:据Coin Pedia消息,Bitfinex的新投票系统Bitfinex Ballot将允许EOS持有者在交易平台上直接为EOS Block Producers投票。文章评论称,这对于投票困难的EOS持有者和Block Producers来说无疑是一件好事,此外Bitfinex作为EOS Block Producers的主要候选对象,排名第12,如果保持这样的投票速度,将确定其成为EOS BP。[2018/6/19]
④ 然后以每单位0.0382美元的价格做多了4.83亿单位的MNGO perps。
⑤ 攻击者通过操纵价格预言机上MNGO的价格(在Mango market里面的市场价格),将其拉高到0.91美元,从而在第二个账户上获利。
⑥ 由于MNGO/美元的价格为每单位0.91美元(在Mango market里面的市场价格),第二个账户能够在Mango market上借用其他代币。攻击者还用第二个账户中的资金(原始存款+将借贷的MNGO资金出售所得)在Mango market上借入其他代币。
⑦ 上述借款行为使第一个帐户的坏账总额为11,306,771.61美元,造成了115,182,674.43美元的资产损失。
除此之外,攻击者已提交将代币发回的建议:
https://dao.mango.markets/dao/MNGO/proposal/3WZ5DpZXDvNAK4JwPS1HDPzSinEJUGpBC4XXx9vPtnVS
漏洞分析
攻击者操纵了价格预言机中Mango代币的价格。
例如其中一个价格预言机Switchboard使用的是FTX和Raydium提供的价格。Raydium(https://solscan.io/account/34tFULR...)的流动性极低,易于操作。
写在最后
攻击发生后,CertiK的推特预警账号以及官方预警系统已于第一时间发布了消息。同时,CertiK也会在未来持续于官方公众号发布与项目预警(攻击、欺诈、跑路等)相关的信息。
CertiK中文社区
企业专栏
阅读更多
宁哥的web3笔记
金色财经 庞邺
DoraFactory
金色财经Maxwell
新浪VR-
Foresight News
Footprint
元宇宙之道
Beosin
SmartDeerCareer
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。