本帖我认为mango被攻击的经过,如果我有任何问题,请告诉我。
美国东部时间下午6:19,攻击者用500万USDC充值了账户A(CQvKS...)
攻击者随后在订单簿上做空了约4.83亿的MNGOperps
数据:LSD协议类别TVL共计135.5亿美元,已超过借贷协议类别:2月26日消息,据DefiLlama数据显示,流动性质押衍生品协议目前的TVL已经超过借贷协议类别,在智能合约中锁定了价值135.5亿美元的资产。[2023/2/26 12:30:13]
美国东部时间下午6:24,攻击者向账户B(4ND8F...)充值,并以每个0.0382美元的价格购买了约4.83亿的MNGOperps
Casa首席技术官:比特币NFT艺术兴起是加密熊市造成区块空间价格低廉导致:金色财经报道,比特币托管公司Casa首席技术官Jameson Lopp表示,比特币 NFT 的兴起是加密熊市导致,由于比特币价格一直处于低位,因此比特币区块空间的价格低廉,如果在牛市中,昂贵的交易费会让Ordinals协议支付数千美元的成本来铸造比特币NFT,因此会让更多人选择放弃。Jameson Lopp还称,NFT 艺术相当愚蠢且从未发现代币化艺术的价值,更不是愿意花费数万美元买的东西。(decrypt)[2023/2/19 12:15:53]
安全团队:Multichain的Anyswap V4 Router合约遭遇抢跑攻击,攻击者获利约13万美元:金色财经报道,据区块链安全审计公司Beosin旗下Beosin EagleEye安全风险监控、预警与阻断平台监测显示,2023年2月15日,攻击者利用MEV合约(0xd050)在正常的交易执行之前(用户授权了WETH但是还未进行转账)抢先调用了AnyswapV4Router合约的anySwapOutUnderlyingWithPermit函数进行签名授权转账,虽然函数利用了代币的permit签名校验,但是本次被盗的WETH却并没有相关签名校验函数,仅仅触发了一个fallback中的deposit函数。在后续的函数调用中攻击者就能够无需签名校验直接利用safeTransferFrom函数将_underlying地址授权给被攻击合约的WETH转移到攻击合约之中。攻击者获利约87个以太坊,约13万美元,Beosin Trace追踪发现目前被盗资金有约70个以太坊进入了0x690b地址,还有约17个以太坊还留在MEVBOT的合约中。
交易哈希:0x192e2f19ab497f93ed32b2ed205c4b2ff628c82e2f236b26bec081ac361be47f[2023/2/15 12:08:11]
美国东部时间下午6:26,攻击者开始操控预言机上MNGO现货价格,交易价格高达0.91美元
在MNGO/USD价格为每单位0.91美元时,账户B入金4.83亿*(0.91美元-0.03298美元)=4.23亿美元
这足以让未实现的损益表从一堆代币中借出1.16亿美元的贷款,然后留下mango并让协议处于赤字状态
看起来这有效地消除了mango上所有可用的流动性
当然,在攻击后MNGO/USD交易价格下跌至0.02美元,这意味着账户A现在是ITM,其空头MNGOperp头寸达到1200万,但是实际上已经没有流动性来支付账户A了,所以攻击者须从账户B拿走1.16亿美元。
责任编辑:Felix
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。