Хакер украл более $100 млн с DeFi-платформы Mango Markets

Неизвестный вывел цифровые активы на сумму около $116 млн с торговой и кредитной DeFi-платформы Mango Markets на базе Solana.

#CertiKSkynetAlert 🚨

On October 11, 2022 at 11:19 PM UTC, Mango Market was attacked for a total loss of roughly ~$116M.

The attacker was able to manipulate the price of the MNGO token and exploitatively borrowed more assets than what they were supposed to be able to.

🧵… pic.twitter.com/HSIUsPYyA4

— CertiK Alert (@CertiKAlert) October 12, 2022

Злоумышленник использовал депозит на сумму 5 млн USDC для манипуляций с ценой нативного токена MNGO через открытие крупной маржинальной позиции в бессрочных свопах. Из-за низкой ликвидности на спотовом рынке цена актива кратковременно подскочила с $0,038 до $0,91 — приблизительно на 2295%.

2/ The attacker then began manipulating the price of MNGO on the spot MNGO/USDC market.

From a stable low of ~$0.038 prior to the attack, they pushed it up to a peak of $0.91. pic.twitter.com/qLvlMZboAa

— CertiK Alert (@CertiKAlert) October 12, 2022

Увеличение стоимости залога в MNGO позволило хакеру занять и вывести из протокола средства в нескольких монетах.

5. The attacker has stolen the assets worth around $114M pic.twitter.com/K0nQNLdCOU

— Hacken🇺🇦 at Devcon 🇨🇴 (@hackenclub) October 11, 2022

«В настоящее время мы расследуем инцидент, в результате которого хакер вывел средства из Mango с помощью манипулирования ценами оракула», — написала команда проекта.

We are currently investigating an incident where a hacker was able to drain funds from Mango via an oracle price manipulation.

We are taking steps to have third parties freeze funds in flight. 1/

— Mango (@mangomarkets) October 11, 2022

За сутки цена токена MNGO обвалилась более чем на 43% — до отметки $0,022 (CoinGecko). По данным DeFi Llama, стоимость заблокированных в протоколе средств упала до $200.

 Данные: DeFi Llama.

«Это не была атака манипулирования оракулом, а скорее классическая pump&dump. Самый старый риск в истории протоколов объединенного кредитования. Цена MNGO вышла за пределы легитимных $0,3 на пару минут. Оракулы сработали точно, просто плохие параметры риска», — прокомментировал инцидент аналитик под ником foobar.

This was *not* an oracle manipulation attack, rather a classic pump-and-dump on thinly traded books. The oldest risk in the book for pooled lending protocols. MNGO price was legitimately 30 cents for a couple minutes there. Oracles reported accurately, just bad risk parameters

— foobar (@0xfoobar) October 12, 2022

Команда Mango подтвердила, что оракулы работали «как должны были».

We want to clarify and add mention here that neither oracle providers have any fault here.

The oracle price reporting worked as it should have. https://t.co/t34MYDrVRu

— Mango (@mangomarkets) October 12, 2022

Напомним, за третий квартал 2022 года потери экосистемы Web3 от взломов и мошенничества составили $428,7 млн.

Из общего показателя на хакерские атаки пришлось $399 млн. Большую часть убытков принесли два инцидента — с кроссчейн-протоколом Nomad ($190 млн) и маркетмейкером Wintermute ($160 млн).