北京时间今天清晨,成都链安鹰眼-Web3安全预警与监控平台监测显示,Solana生态去中心化交易平台Mango遭遇黑客攻击,影响高达1.16亿美元。
根据Odaily星球日报的报道,Mango官方随后发推文称正在采取措施应对,并希望黑客能主动联系商量还款事宜:“我们正在采取措施让第三方冻结流动资金。作为预防措施,我们将在前端禁用存款,并将随着情况的发展提供最新信息。”
与以往攻击事件的剧情走向不同,这次的黑客“戏瘾很足”,其在realms上发布了一项新的治理提案:希望Mango官方使用项目国库资金偿还用户坏账;如果官方同意,黑客将返还部分被盗资金,同时希望免受刑事调查或冻结资产。有加密爱好者评论称,Mango黑客算是将DeFi与DAO玩得明白。
BLUR巨鲸地址再次加仓购入150万代币,目前亏损400万美元:6月15日消息,根据0xScope监测,距离BLUR代币解锁还有两小时,一名巨鲸地址再次加仓购入150万代币(价值47万美元),目前该地址总持仓1500万个BLUR(价值470万美元)位列第六;值得注意的是,该地址在BLUR上亏损400万美元,在DYDX上亏损350万美元。[2023/6/15 21:37:52]
截至目前,该提案获得3290万投票赞成,其中3241万票由黑客自己所投,距离通过门槛还有一半的距离。
针对本次事件,成都链安安全团队进行了分析。
1?“价格操纵”攻击手法讲解
黑客使用了两个账户,一共1000万USDT起始资金。
a16z发文介绍Aztec Connect的跨链密封投标拍卖模式:2月23日消息,a16z发文介绍了使用Aztec Connect的跨链密封投标拍卖模式。它可以为任意规模的投标提供隐私,而无需额外的抵押品。
Aztec Connect是一个框架,它使用户能够从Aztec的ZK rollup的隐私中访问以太坊L1上的智能合约。以太坊上的汇总处理器合约可以调用符合特定接口的兼容桥接合约,允许Aztec用户使用他们的托管资产与这些合约进行交互。桥接合约通常插入L1上现有的DeFi协议,例如,已经为Uniswap、Lido和Element Finance实施了桥接。[2023/2/23 12:23:49]
第一步,攻击者向Mango市场存入了5MUSDC。
法国央行等8家新机构加入区块链开放生态Hyperledger基金会:9月12日消息,全球企业级区块链开放生态Hyperledger基金会宣布8家新成员机构加入,包括法国央行法兰西银行、尼日利亚中央银行、CasperLabs、加拿大数字身份实验室和DSR Corperation、BCW Group、Realto Group、以及国际可信区块链应用协会 (INATBA)。
此前报道,Hyperledger是一个开源协作项目,旨在完善跨行业区块链技术,进而实现商业用途。它是通过全球协作实现的,由Linux基金会托管。(Prnewswire)[2022/9/12 13:24:20]
第二步,攻击者在MNGO-ERP市场创建了一个483M的PlacePerpOrder2头寸。
Web3社交媒体Metalk将于6月12日启动Chat2Earn用户增长计划:据官方消息,Metalk将于6月12日2PM(GMT)开放Dialoger-Metalk Genesis NFT预售,并同步推出Metalk Chat2Earn用户增长计划,用户在Metalk应用中每日完成“聊天”、“答题”、“互动”等对应任务,将获得平台治理代币$Meta奖励。
据悉,Metalk由拳王麦克.泰森(MikeTyson)担任社区大使,是一款集NFT加密社群、财富值、MNS域名为一体的Web3原生炫富社交应用。[2022/6/11 4:18:46]
第三步,MNGO的价格被操纵,从0.0382美元到0.91美元,通过使用一个单独的账户对其头寸进行对手交易。
Account2
账户2现在有483*(0.91-0.03298美元)=4.23亿美元,这使得攻击者可以借出1.16亿美元的资金。
2??项目方向黑客妥协?
该黑客在Mango治理上提出了一个提案,试图通过谈判获得赏金。该提案要求Mango?Treasury支付7000万以偿还坏账。黑客将放弃一半的收益以避免法律起诉。?
据了解,目前项目国库资金约为1.44亿美元,其中包括价值8850万美元的MNGO代币以及近6000万美元的USDC。
黑客表示,如果官方同意上述方案,将返还部分被盗资金,同时希望不会被进行刑事调查或冻结资金。“如果这个提案通过,我将把这个账户中的MSOL、SOL和MNGO发送到Mango团队公布的地址。Mango项目国库将用于覆盖协议中剩余的坏账,所有坏账的用户将得到完整补偿……一旦代币如上述所述被送回,将不会进行任何刑事调查或冻结资金。”
根据前文统计可以得知,黑客计划送回的资产金额大约是4943万美元,约为被盗资金的42%,这意味着近半数的被盗资产被黑客留下作为「赏金」,这一比例远高于以往攻击事件中官方所承诺的上限。
Mango官方表示,目前最好的解决方式是与攻击者进行沟通。“MangoDAO的优先事项是:防止任何进一步的不必要损失、确保Mango协议的存款人资金安全、尝试挽救MangoDAO的一些价值。Mango认为解决此问题的最具建设性的方法是继续与负责该事件并控制从协议中移除的资金的人沟通,以尝试友好地解决问题。”
目前尚不清楚官方最终是否会同意该提案并进行实施。截至发稿前,黑客提案获得3290万投票赞成,其中3241万票由黑客自己所投,距离通过门槛6709万票还有不小的距离。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。