北京时间2022年10月11日6:19,CertiKSkynet天网监测到Mangomarket遭到黑客攻击,截至目前已损失1.16亿美元。攻击者操纵MNGO代币的价格,并恶意借贷超出应有数额的资产。
攻击步骤
①在此交易中,攻击者向第一个帐户提供了500万枚USDC。
NEAR将于第三季度末引入Chunk-Only Producer角色,仅负责在单个分片中生成Chunk:7月1日消息,NEAR将于7月13日开启Stake Wars III,该阶段将专注于引入仅负责在单个分片中生成Chunk的Chunk-Only Producer,他们可以在要求不高的机器上运行他们的验证节点,例如4核CPU、8GB RAM和200GB SSD存储。NEAR表示,一旦第三季度末NEAR主网上可以使用Chunk-Only Producer,NEAR计划再增加200至300个验证者,NEAR网络目前由100个验证者保护。[2022/7/1 1:44:02]
②攻击者在订单簿中提供了4.83亿单位的MNGOperps。
去中心化交易协议Balancer拟于3月发布V2版 目前正在进行内部审计:去中心化交易协议Balancer(BAL)宣布计划于今年3月份发布BalancerV2版本,目前正在进行内部审计。BalancerV2的升级内容或功能主要包括机池(Vault)将适用于所有Balancer池添加的所有资产、提升Gas效率、提高资本效率、较低的Gas成本和富有弹性的预言机、由社区管理的协议费用以及无需许可、可自定义的AMM逻辑等。其中,协议费用包括交易费用、资产撤回费用以及短期贷款费用,将由治理决定。[2021/2/3 18:45:39]
动态 | NBA球员Spencer Dinwiddie表示将于1月13日启动其代币投资平台:据Decrypt消息,NBA球员Spencer Dinwiddie本周表示,尽管NBA威胁禁止他进入职业篮球联盟,但他的代币投资平台将于1月13日启动。据悉,联盟仍在审核Dinwiddie的修订提案,这意味着该平台不能保证在1月13日启用。此前消息,Dinwiddie于2019年10月宣布计划推出区块链投资平台DREAM Fan Shares,出售90种名为SD8 coins的代币,代币持有者将在未来三年内以4.95%的基本利率每月收到还款。但NBA对这一提议并不感兴奋,称这种平台违反NBA球员的集体谈判协议。[2020/1/11]
③之后攻击者向第二个账户注资。
④然后以每单位0.0382美元的价格做多了4.83亿单位的MNGOperps。
⑤攻击者通过操纵价格预言机上MNGO的价格,将其拉高到0.91美元,从而在第二个账户上获利。
⑥由于MNGO/美元的价格为每单位0.91美元,第二个账户能够在Mangomarket上借用其他代币。攻击者还用第二个账户中的资金在Mangomarket上借入其他代币。
⑦上述借款行为使第一个帐户的坏账总额为11,306,771.61美元,造成了115,182,674.43美元的资产损失。
除此之外,攻击者已提交将代币发回的建议:
https://dao.mango.markets/dao/MNGO/proposal/3WZ5DpZXDvNAK4JwPS1HDPzSinEJUGpBC4XXx9vPtnVS
漏洞分析
攻击者操纵了价格预言机中Mango代币的价格。
例如其中一个价格预言机Switchboard使用的是FTX和Raydium提供的价格。Raydium(https://solscan.io/account/34tFULR...)的流动性极低,易于操作。
写在最后
攻击发生后,CertiK的推特预警账号以及官方预警系统已于第一时间发布了消息。同时,CertiK也会在未来持续于官方公众号发布与项目预警相关的信息。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。