de
Zurück zur Liste

Mango Markets: 114 Millionen Hack ist legal?

source-logo  coinpro.ch 17 Oktober 2022 09:00, UTC

Kürzlich erbeutet ein Angreifer umgerechnet 114 Millionen Schweizer Franken. Dazu manipuliert der verantwortliche die dApp Mango Markets, die auf Solana basiert. Nun sorgen Diskussionen für Wirbel. Ist der Hack der Plattform sogar legal?

Mango Markets Exploit: So ging der Angreifer vor

Technisch gesehen handelt es sich bei dem Angriff auf Mango Markets nicht um einen Hack. Treffender ist hier die Bezeichnung Exploit. Dem Verantwortlichen gelang es, die systematische Schwachstelle einer dApp auszunutzen, ohne Programmcode zu manipulieren oder spezielle Rechte zu erlangen.

Die umgerechnet 114 Millionen Schweizer Franken erhielt er unter anderem in Form von USD Coin, USDT und Solana. Dafür verwendete die Person einen sehr simplen Trick: Er zahlte den Token der dApp Mango (MNGO) als Sicherheit ein.

Dadurch konnte er Zugriff auf einen übersicherten Kredit erlangen. So weit wäre alles normal gelaufen und die Person hätte ihr anfängliches Investment nicht vervielfachen können. Dennoch gelang genau das, indem er parallel den Wert des Mango Token manipulierte.

Möglich war das, da Mango nur ein vergleichsweise geringes Handelsvolumen von knapp über 100.000 CHF in 24 Stunden hat. Der Verantwortliche kaufte massiv MNGO auf der Krypto-Börse FTX und eröffnete Sell Orders mit extrem hohen Preisen, sodass der Marktwert explosiv anstieg. Innerhalb von zehn Minuten stieg dessen Wert von vier Rappen auf 15 Rappen und sank dann wieder auf zwei Rappen.

Der Verantwortliche investierte dafür laut Solana-Entwickler Tom Geshury etwa 13 Millionen CHF. Demnach übersteigt der Wert der Beute das eingängliche Investment also fast um das Zehnfache, während der Preis des Tokens nur um das Fünffache stieg. Dies gelang durch eine gehebelte Position.

Angreifer will Beute behalten

Direkt nach dem Exploit reagierten die Entwickler von Mango Markets und kontaktierten die Herausgeber der betroffenen Stablecoins, um einen grossen Teil der Beute nach Möglichkeit einzufrieren.

Der Angreifer selbst hält sich jedoch für unschuldig, wie aus einer Abstimmung der Mango Markets DAO hervorgeht. Dort bittet er darum, die Beute zu grossen Teilen zu erlassen. 70 Millionen US-Dollar in USDC erwartet er als Belohnung, sofern er den Rest des Geldes zurückgibt.

Die Gemeinschaft der dApp reagiert auf diesen Vorschlag ablehnend und kippt ihn daher. Erst ein zweiter Vorschlag, den die Mango Markets-Entwickler eröffnen, gelingt. In der Folge darf der Angreifer ganze 47 Millionen CHF behalten.

Gemeinschaft schockiert über hohe Abfindung

Viele Nutzer sind über die hohe Abfindung schockiert. Als ein White Hat Hacker im Februar die Wormhole Bridge angriff und 320 Millionen US-Dollar erbeutete, einigte man sich auf eine Prämie in Höhe von zehn Millionen US-Dollar. Dieses Beispiel verwenden viele Kritiker als Referenz.

Andere Nutzer beschweren sich über die Leichtsinnigkeit der Entwickler. Die betroffene Schwachstelle sei bereits im Vorfeld bekannt gewesen.

Verantwortlicher Angreifer namentlich bekannt

Viele Nutzer werten das Ergebnis als besonders tragisch, da der Verantwortliche bereits namentlich bekannt ist. Es ist nicht das erste Mal, dass Avraham Eisenberg Kryptowährungen erbeutet.

Im Fall um FortressDAO soll er rund 6.000 Anleger um 14 Millionen US-Dollar betrogen haben. Davon behielt er persönlichen Zugriff auf rund sieben Millionen US-Dollar.

Diese bildeten einen Teil seines Startkapitals im Fall von Mango Markets. Chris Brunet identifiziert ihn eindeutig als Angreifer. Eisenberg probte den Ablauf zuvor in einer Simulation und zeigte sich über die Möglichkeit besorgt, sein eingesetztes Kapital zu verlieren.

Eisenberg selbst erklärt auf Twitter, dass er “Teil eines Teams” gewesen sei, welches eine “höchstprofitable Trading-Strategie umsetzte”. Dort erklärt er das Vorgehen für legal. Tatsächlich steht er damit nicht allein da. Auch weitere Personen sind von der Legalität des Exploits überzeugt.

Da es keine technische Schwachstelle gab, die Eisenberg ausnutzte, sondern lediglich eine geringe Liquidität, die letztlich zu den Gewinnen führte, erfolgte kein Hack und somit auch keine illegale Aktivität. Der Vorwurf des Computerbetrugs wäre also nicht zutreffend.

coinpro.ch