Pasar Mangga Dihancurkan oleh Manipulasi Oracle seharga $ 112 juta

Mango Markets, platform perdagangan keuangan terdesentralisasi (DeFi) di blockchain Solana, mengatakan pada hari Selasa bahwa pihaknya sedang menyelidiki peretasan senilai sekitar $ 112 juta dalam aset digital.

Mango mengatakan peretas dapat menguras dana dari platformnya menggunakan teknik yang dikenal sebagai manipulasi harga oracle - suatu bentuk serangan ekonomi yang telah menghantam protokol DeFi lainnya sebelumnya.

Aktor tersebut berhasil menarik berbagai aset digital — kebanyakan stablecoin, termasuk $53.7 juta dalam USD Coin (USDC) dan $3.2 juta dalam Tether (USDT) — tetapi juga solana (SOL).

Dalam twist yang tidak biasa, mereka mengusulkan untuk kembali sebagian dari dana yang dicuri, yaitu Marinade staking solana (MSOL), turunan staking, SOL asli dan token tata kelola MNGO platform itu sendiri. Sisanya, pelakunya mengklaim sebagai "karunia."

Artinya, tentu saja, jika komunitas DAO Mango memberikan suara ya pada proposal pencuri.

“Dengan memberikan suara untuk proposal ini, pemegang token mangga setuju untuk membayar hadiah ini dan melunasi hutang macet dengan perbendaharaan, dan melepaskan segala klaim potensial terhadap akun dengan hutang macet, dan tidak akan melanjutkan penyelidikan kriminal atau pembekuan dana setelah token dikirim kembali seperti yang dijelaskan di atas,” penyerang menulis di forum tata kelola protokol.

Peretas meminta Mango menggunakan simpanan perbendaharaannya sebesar 70 juta USDC untuk membayar "utang macet". Utang ini berasal dari insiden pada bulan Juni ketika komunitas Mangga bekerjasama dengan protokol peminjaman dan peminjaman berbasis Solana lainnya, Solend, untuk menangani risiko sistemik yang disebabkan oleh satu peminjam besar, dengan risiko likuidasi, yang menempatkan seluruh ekosistem Solana DeFi dalam bahaya.

Mango DAO, atau pengelola protokol, juga tidak boleh melakukan penyelidikan kriminal atau membekukan dana penyerang — melalui stablecoin terpusat seperti USDC dan USDT — setelah aset kripto dikembalikan.

Tetapi tidak semua aset akan dikembalikan; sementara jumlah pasti untuk hadiah tidak diberikan, dapat diasumsikan dari token yang dihilangkan dari peretasan awal bahwa penyerang meminta untuk menyimpan lebih dari setengah dari apa yang mereka curi — jauh lebih banyak daripada kebanyakan peretas "topi putih" atau pemburu hadiah bug biasanya menerima.

Namun, anggota Mango DAO sejauh ini memilih mendukung proposal peretas, dengan tingkat ya 99.9% dari sekitar 33 juta token MNGO — meskipun hanya satu alamat dompet yang bertanggung jawab atas bagian terbesar suara. Saat DAO berjalan, yang ini sangat terpusat, dengan sebagian besar suara tata kelola diputuskan hanya oleh beberapa alamat.

Selanjutnya 67 juta suara ya diperlukan agar proposal dapat melewati ambang batas kuorum selama periode pemungutan suara tiga hari.

Manipulasi oracle harga

Sementara konsultasi dan investigasi berlanjut, pengelola platform telah meminta pengguna untuk berhenti menyimpan aset hingga situasi menjadi lebih jelas.

Meminjam dan meminjamkan dapps bergantung pada oracle untuk menarik data on-chain untuk token tertentu. Manipulasi terjadi ketika protokol umpan data tersebut rusak, memungkinkan transaksi yang tidak dimaksudkan.

Dalam kasus Mango, penyerang dapat memanipulasi nilai agunan mereka melalui platform sebelum mengambil "pinjaman besar-besaran" sebesar $ 112,199,876 dari perusahaan audit keamanan dan perbendaharaan Mango. OtterSec melaporkan di Twitter.

Pendiri OtterSec Robert Chen mengkonfirmasi angka tersebut kepada Blockworks yang mengatakan manipulasi harga diduga terjadi di bursa terpusat yang digunakan Mango untuk merujuk nilai agunan.

Harga MNGO sempat melonjak sekitar 300% menjadi $0.15 dalam waktu 10 menit di bursa FTX, kemudian turun 88% menjadi di bawah $0.02 setelah serangan tersebut.

Pengembang Solana, Tom Geshury, dikreditkan sebagai orang pertama yang membawa peretasan ke perhatian firma audit keamanan.

Geshury mengatakan kepada Blockworks bahwa peretas menggunakan $ 10 juta untuk memperdagangkan sendiri kontrak abadi Mango dan kemudian diperkirakan $ 3 juta untuk memompa harga MNGO dan melaksanakan rencananya, sebelum pelaku pasar mengetahui skema tersebut dan mulai membuang token mereka.

Tak lama setelah posting Twitter OtterSec, Mango merilis pernyataan yang mengatakan bahwa mereka mengambil langkah-langkah agar pihak ketiga membekukan dana dalam penerbangan.

“Kami akan menonaktifkan setoran di ujung depan sebagai tindakan pencegahan dan akan membuat Anda terus diperbarui saat situasi berkembang,” grup tersebut kata melalui Twitter.

Blockworks mencoba menghubungi beberapa admin di saluran Mango Discord tetapi tidak berhasil.

Sejumlah protokol telah terkena serangan semacam itu tahun ini saja, termasuk platform DeFi Inverse Finance untuk $ 5.8 juta pada bulan Juni dan platform pinjaman stablecoin, Fortress Protocol untuk $ 3 juta Mei.

Serangan terhadap Mango terjadi kurang dari seminggu setelah jaringan Binance sendiri, BNB Chain, menjadi sasaran ratusan juta dolar melalui eksploitasi jembatan lintas rantai. Jumlah yang dicuri adalah berisi sekitar $100 juta.

Menghadiri DAS: LONDON dan dengarkan bagaimana institusi TradFi dan kripto terbesar melihat masa depan adopsi institusional kripto. Daftar sini.