北京時間2022年10月11日6:19,CertiK Skynet天網監測到Mango market遭到黑客攻擊,截至目前已損失1.16億美元。攻擊者操縱MNGO代幣的價格,并惡意借貸超出應有數額的資產。
攻擊步驟
① 在此交易中,攻擊者向第一個帳戶(CQvKSNn...)提供了500萬枚USDC。
② 攻擊者在訂單簿中提供了4.83億單位的MNGO perps(做空)。
CertiK:The Chimpsons項目Discord服務器遭到攻擊:金色財經消息,據CertiK監測,The Chimpsons項目Discord服務器遭到攻擊。請社區用戶不要點擊鏈接,鑄造或批準任何交易。[2022/10/30 11:58:29]
③ 之后攻擊者向第二個賬戶(4ND8FVPjU...)注資。
安全公司CertiK提醒已確認NoaSwap由詐騙集團運營:官方消息,安全公司CertiK表示,已確認NoaSwap由負責SheepSwap的同一詐騙集團運行。CertiK提醒用戶保持警惕。[2021/4/11 20:07:42]
④ 然后以每單位0.0382美元的價格做多了4.83億單位的MNGO perps。
⑤ 攻擊者通過操縱價格預言機上MNGO的價格(在Mango market里面的市場價格),將其拉高到0.91美元,從而在第二個賬戶上獲利。
Larry Cermak:不在相信幣安,幣安根據其定義擁堵的新規則任意暫停ETH/ERC20取款:TheBlock研究總監LarryCermak在推特中轉發幣安暫停ETH沖提的推文,Larry Cermak稱,我一直在等待合適的推動力,但最后還是把我在Binance上的大部分資金撤到了FTX。在這一點上,不能再相信這家公司了,他們在用這些垃圾在自己的腳下瘋狂射擊。幣安根據其定義擁堵的新規則任意暫停ETH / ERC20取款。早晨,gas費大約是130,現在是190。絕對是胡扯。[2021/2/20 17:32:41]
⑥ 由于MNGO/美元的價格為每單位0.91美元(在Mango market里面的市場價格),第二個賬戶能夠在Mango market上借用其他代幣。攻擊者還用第二個賬戶中的資金(原始存款+將借貸的MNGO資金出售所得)在Mango market上借入其他代幣。
⑦ 上述借款行為使第一個帳戶的壞賬總額為11,306,771.61美元,造成了115,182,674.43美元的資產損失。
除此之外,攻擊者已提交將代幣發回的建議:
https://dao.mango.markets/dao/MNGO/proposal/3WZ5DpZXDvNAK4JwPS1HDPzSinEJUGpBC4XXx9vPtnVS
漏洞分析
攻擊者操縱了價格預言機中Mango代幣的價格。
例如其中一個價格預言機Switchboard使用的是FTX和Raydium提供的價格。Raydium(https://solscan.io/account/34tFULR...)的流動性極低,易于操作。
寫在最后
攻擊發生后,CertiK的推特預警賬號以及官方預警系統已于第一時間發布了消息。同時,CertiK也會在未來持續于官方公眾號發布與項目預警(攻擊、欺詐、跑路等)相關的信息。
CertiK中文社區
企業專欄
閱讀更多
寧哥的web3筆記
金色財經 龐鄴
DoraFactory
金色財經Maxwell
新浪VR-
Foresight News
Footprint
元宇宙之道
Beosin
SmartDeerCareer
FX168財經報社(北美)訊 周一(10月3日),美國財政部長耶倫主持的金融穩定監管委員會(FSOC)發布報告警告,與加密貨幣相關的風險可能迅速增加,最終將威脅更廣泛的金融體系.
1900/1/1 0:00:00▌ 報告:中國數字藏品市場規模五年內預計達到280億元金色財經報道,艾瑞咨詢發布《中國數字藏品行業研究報告》(后簡稱“報告”).
1900/1/1 0:00:00撰文:Joanna Kurkowska編譯:aididiaojp.eth,Foresight News游戲機制、概念、類型和游戲經濟模型已經被炒作了幾十年.
1900/1/1 0:00:00FTX 的突發性死亡,引爆了 Crypto 行業的新一輪崩盤,有人便形容稱,這是屬于 Crypto 圈子的雷曼時刻.
1900/1/1 0:00:0010 月 7 日消息,根據 The Verge 獲得的內部備忘錄顯示,Meta 旗下的元宇宙社交網絡應用 Horizon Worlds 存在太多的漏洞,甚至開發它的團隊都不怎么使用它.
1900/1/1 0:00:00▌伊朗比特幣倡導者Ziya Sadr被伊朗安全部隊逮捕金色財經報道,據多個消息來源稱,伊朗的比特幣倡導者Ziya Sadr上個月被伊朗安全部隊逮捕.
1900/1/1 0:00:00