比特幣交易所 比特幣交易所
Ctrl+D 比特幣交易所
ads

Mango 被盜 1 億美元背后:一場利用閃電貸和 DAO 治理的雙重攻擊_SOL

Author:

Time:1900/1/1 0:00:00

作者:flowie,鏈捕手

今晨,Solana生態DeFi項目Mango被盜約1億美元,也是Solana生態歷史上最大的安全事故之一。與多數DeFi攻擊事件類似,這次事故通過閃電貸攻擊進行的,黑客通過操作預言機價格將該協議流動性幾乎全部耗盡,不過很快該事件走向了更加戲劇化與復雜的局面,黑客在Mango治理平臺發起鏈上提案,被認為再度向該項目發起治理攻擊。

Mango是誰?

據悉,Mango是一個去中心化交易和借貸協議,允許用戶在Solana上交易以獲得現貨保證金和交易永續期貨,并由MangoDAO管理。

Mango被攻擊前的TVL為1.04億美元,是Solana生態中TVL第六大的DeFi項目。此外,Mango還受到了Multicoin的大力支持。去年9月,MulticoinCapitaln合伙人SpencerApplebaum表示購買了近1000萬美元MNGO代幣。

Victory Capital Management宣布推出首個加密資管平臺“Victory”:金色財經報道,頂尖資產管理公司之一的Victory Capital Management Inc宣布推出首個加密資產管理平臺“Victory”。據悉,該平臺將為用戶提供一站式的加密資產管理服務,包括共同基金、ETF、獨立管理賬戶、另類投資、第三方 ETF 模型策略、集體投資信托、私募基金和529教育儲蓄計劃等多種加密資產的管理和交易。勝利資本管理有限公司是一家專注于資產管理的公司,成立于1970年,總部位于美國俄亥俄州。該公司的資產管理規模超過1576億美元,是全球領先的資產管理公司之一。[2023/5/15 15:03:25]

閃電貸攻擊

隱私保護協議Manta Network擬啟動Web3史上最大可信設置儀式:10月28日消息,波卡生態隱私保護協議 Manta Network 開發團隊 P0xeidon Labs 公布了全新的可信設置儀式(Trusted Setup Ceremony),將用于啟動 Manta 的私人支付 App「MantaPay」。該儀式預計持續兩周,將有來自多達 133 個國家/地區的約 5,000 名參與者,使其成為 Web3 歷史上規模最大、分布最廣的可信設置儀式。[2022/10/29 11:54:09]

關于黑客套利1億美元的過程,GenesisGlobalTrading衍生品主管JoshuaLim在推特上做了詳細分析。

Tether要求法院終止Roche Freedman的集體訴訟:金色財經報道,穩定幣發行商Tether希望法官主持對其提起的集體訴訟,以將Roche Freedman律師事務所從該案中撤出,如果獲得批準,該請求可能會削弱針對這家穩定幣巨頭的訴訟。該請求是在Roche Freedman的創始合伙人之一凱爾羅氏的視頻由匿名博客Crypto Leaks發布后不到一周提出的,并附有一篇文章稱Roche戰略性地代表開發公司Ava Labs提起了多項集體訴訟。Roche聲稱該視頻是經過選擇性編輯和非法獲取的,他和Ava Labs的領導層都強烈否認這一指控。

昨日,Roche申請將自己從該案中除名,以及其他集體訴訟,理由是他不再參與該公司的集體訴訟業務。但在昨天提交的一份文件中,Tether的律師辯稱,Roche此前曾參與此案,足以讓該公司退出該案。[2022/9/2 13:03:55]

具體來說,黑客有兩個賬號A和B,每個賬號有500萬的USDC。通過賬號A的500萬USDC作為抵押,黑客在MangoMarkets訂單簿上鑄造了4.83億份MNGO永續合約。并很快用賬戶B的500萬USDC,以每份0.03美元的價格購買了這4.83億份MNGO永續合約。

聲音 | CCN:澳本聰與Kleiman方代表未能就訴訟案件達成和解:據CCN消息,一份于6月18日提交給聯邦法院的文件顯示,調解員指出,關于Ira Kleiman(代表其已逝去的兄弟Dave Kleiman)訴澳本聰(Craig Wright)一案,雙方無法通過調解解決訴訟。法庭文件寫道:“這個案件沒有在調解中解決。結果,我們陷入了僵局。” 據悉,澳本聰賴特接下來需要在6月28日于佛羅里達州出庭作證。此前報道,CoinGeek創始人Calvin Ayre今早曾發推透露:“Craig剛剛結束了他在邁阿密的和解會議,據稱他們不能對所發生的事情發表評論。”[2019/6/19]

隨后黑客開始操縱Mango現貨市場價格,將MNGO價格從0.03美元推高至0.91美元,4.83億份MNGO的價值便達到了4.23億美元。黑客又利用賬號B的MNGO作為抵押品,借出1.16億美元的貸款,此時Mango的流動性被耗盡,USDC、MSOL、SOL、BTC、USDT、SRM和MNGO等資產均被抽空,黑客獲利1億美元。

DAO治理操縱

原本只是一場常見的閃電貸攻擊,但出乎意料的是,或許是為讓自己免于刑事調查或資產凍結,黑客再次現身發起了DAO治理攻擊。對于被盜走的1億美元,黑客發起提案要求有國庫來償還用戶損失,并用盜取的大量治理代幣操控投票,讓支持率近乎100%。

這項提案的具體內容是,希望使用Mango國庫中約7000萬枚USDC償還壞賬,如果此提案在3天后的投票中被通過,黑客將把賬戶中MSOL、SOL和MNGO轉入Mango團隊發布的地址。

黑客表示:“協議中剩余的全部壞賬將由Mango國庫償還,沒有壞賬的用戶將不受影響。任何壞賬都將被視為漏洞賞金/保險,由Mango保險基金支付。如果MangoToken持有者通過對該提案的投票,就表示同意支付這筆獎金并用國庫償還壞賬,并放棄對壞賬賬戶的任何潛在索賠,一旦Token按上述規則被償還,將不會進行任何刑事調查或凍結資產。”

值得一提的是,諸如此類的DAO治理攻擊也已屢見不鮮。去年穩定幣協議Beanstalk的攻擊者也是通過閃電貸獲得了一筆貸款,獲取到足夠數量的Beanstalk治理代幣后,立即通過了一項惡意提案,控制了Beanstalk的1.82億美元儲備資金。

此外,跨鏈穩定幣項目TrueSeigniorageDollar、BSC借貸協議Venus、合成資產協議Mirror均遭受到了不同程度的治理攻擊。

DAO治理攻擊純粹是“協議內”攻擊,幾乎無法通過密碼學手段解決。對于頻發的治理攻擊,DAO可能需要真的需要思考,如何利用機制設計來預防和避免。

影響與回應

目前攻擊事件還在發酵,受?Mango攻擊事件影響的協議陸續在發聲。Solana生態算法穩定幣協議UXDProtocol表示,其受Mango攻擊事件影響的資金總額已達近2000萬美元。UXDProtocol已暫停UXD鑄造以達到風險最小化,一旦確認MangoMarkets的問題得到解決,將重新啟用鑄幣功能。

而?Solana生態收益聚合器TulipProtocol約250萬美元資金收到該事件影響,并表示其在Mango攻擊事件中的敞口僅限于USDC/RAY策略資金庫的一部分,即2,465,841.497167USDC和66,721.925355RAY。此外TulipProtocol暫時禁用策略庫的提款,并稱有足夠的資金來支持必要時的損失。

對于此次攻擊事件,Mango目前的回應和措施是,調查事件原因,并凍結第三方流動資金作為預防措施。此外Mango將在前端禁用存款,表示可郵箱聯系討論資金返還的賞金;同時提醒用戶不要存入Mango,鼓勵黑客主動聯系“討論漏洞獎勵”。

而對于與此攻擊事件有關的各方,據Mangao官方推特稱已在MangoDAO進行溝通,并表示愿意進行談判。MangoDAO接下來的優先事項是:1、防止進一步不必要損失。2、確保Mango協議的存款人是完整的。3、嘗試挽救MangoDAO協議的一些價值,并且重建。

目前MNGO的價格急劇下跌。截至發稿時,該資產的交易價格為0.02297美元,日跌幅為43.23%。

Tags:MANMANGOSOLMNGSTMAN幣MangoMan IntelligentSOLAMNGUZ

火必下載
專訪 CZ:我很自豪能夠作為華人領導一個行業領先的組織_NAN

撰文:BenjaminPimentel編譯:Colin,SevenUpDAO海歸公會在加密領域,他被簡稱為CZ,是該行業最具統治力的參與者之一的負責人.

1900/1/1 0:00:00
Web3 3A 游戲賣樓花,杠桿化的研發模式會降低高成本?_NFT

作者:Simon,IOSGVentures3A與房地產有著某種程度的類似,建設耗時耗錢,牽涉的利益相關方眾多.

1900/1/1 0:00:00
一文了解 RealYield 概念和相關項目_KEN

原文作者:DenisBalitskiy原文編譯:0x214,BlockBeats近期,Arbitrum生態DEXGMX勢頭強勁,9月5日,GMXToken價格突破56美元.

1900/1/1 0:00:00
BNB Chain 與多家區塊鏈安全審計公司啟動安全基礎設施項目 AvengerDAO_NCE

鏈捕手消息,據CoinDesk報道,BNBChain已與多家區塊鏈安全審計公司啟動安全基礎設施項目AvengerDAO,旨在保護用戶免受詐騙和惡意活動.

1900/1/1 0:00:00
晚報 | Terra 創始人 Do Kwon 被發逮捕令;SevenX Ventures 三期完成 8000 萬美金首次關賬_萊特幣

整理:Jessy,鏈捕手“過去24小時都發生了哪些重要事件”?1、NFT項目Doodles以7.04億美元估值完成5400萬美元融資.

1900/1/1 0:00:00
前 Meta 員工創立的加密托管公司 Derisk 啟動募資,已募集超 100 萬美元_EOS

據Wefunder披露信息顯示,由Meta前員工創立的加密托管初創公司Derisk正在Wefunder平臺上募集資金,其融資目標為120萬美元,目前已籌集1,017,126美元.

1900/1/1 0:00:00
ads