北京時間2022年10月11日6:19,CertiK Skynet天網監測到Mango market遭到黑客攻擊,截至目前已損失1.16億美元。攻擊者操縱MNGO代幣的價格,並惡意借貸超出應有數額的資產。
攻擊步驟
① 在此交易中,攻擊者向第一個帳戶(CQvKSNn…)提供了500萬枚USDC。
② 攻擊者在訂單簿中提供了4.83億單位的MNGO perps(做空)。
③ 之後攻擊者向第二個賬戶(4ND8FVPjU…)注資。
④ 然後以每單位0.0382美元的價格做多了4.83億單位的MNGO perps。
⑤ 攻擊者通過操縱價格預言機上MNGO的價格(在Mango market裡面的市場價格),將其拉高到0.91美元,從而在第二個賬戶上獲利。
⑥ 由於MNGO/美元的價格為每單位0.91美元(在Mango market裡面的市場價格),第二個賬戶能夠在Mango market上借用其他代幣。攻擊者還用第二個賬戶中的資金(原始存款+將藉貸的MNGO資金出售所得)在Mango market上借入其他代幣。
⑦ 上述借款行為使第一個帳戶的壞賬總額為11,306,771.61美元,造成了115,182,674.43美元的資產損失。
除此之外,攻擊者已提交將代幣發回的建議:
https://dao.mango.markets/dao/MNGO/proposal/3WZ5DpZXDvNAK4JwPS1HDPzSinEJUGpBC4XXx9vPtnVS
漏洞分析
攻擊者操縱了價格預言機中Mango代幣的價格。
例如其中一個價格預言機Switchboard使用的是FTX和Raydium提供的價格。 Raydium(https://solscan.io/account/34tFULR…)的流動性極低,易於操作。
寫在最後
攻擊發生後,CertiK的推特預警賬號以及官方預警系統已於第一時間發布了消息。同時,CertiK也會在未來持續於官方公眾號發布與項目預警(攻擊、欺詐、跑路等)相關的信息。