事件概覽
MangoFarmSOL將自己定位為Solana網路上的質押協議,鼓勵用戶存入SOL而獲得獎勵。該計畫曾承諾在1月10日進行空投而獲得了Solana社區的關注。
然而,1月10日的承諾從未兌現。 2024年1月6日,MangoFarmSOL就實施了退出騙局,從專案合約中轉移了用戶存入的13,512枚SOL(當時約126萬美元),又部署惡意前段,誤導用戶授權「緊急遷移」並在此盜取約6萬美元。這是我們在2024年至今發現的最大規模的退出騙局。
隨後,MangoFarmSOL關閉了其社交帳戶和網站。
同之前我們報道的xKingdom事件一樣,這次事件再次凸顯了DeFi領域固有的退出騙局風險,強調了用戶警覺意識與團隊KYC的重要性。
騙局時間線
第一步:布下陷阱
① 1月3日,該計畫利用社群媒體KOL的推廣來提高其可信度並吸引更多用戶。
② 1月5日,團隊發表文章,聲稱將於1月10日空投MANGO代幣,質押SOL以及推薦其他用戶等行為均可獲得更多獎勵。
③ 1月3日至1月7日,用戶開始將SOL存入MangoFarmSOL的合約中。受到MANGO代幣空投承諾的誘惑,以及網路行銷的影響,該協議的TVL超過了130萬美元。
第二步:實作騙局
① 盜取合約資金:MangoFarmSOL團隊發起騙局,將用戶存入Mango合約內的13,514 SOL(約126萬美元)提取到錢包8ggvi。
?第一筆交易:135枚SOL從Mango合約(Bfg5SM)轉移到錢包8ggvi。
?第二筆交易:13,379枚SOL從Mango合約(Bfg5SM)轉帳至錢包8ggvi。
② 部署惡意前端再次行騙:隨後,團隊也藉助先前被盜事件,以「緊急遷移」為幌子,部署了含有惡意程式碼的前端。該專案的官方社群媒體帳號也發布了該惡意前端,誘騙用戶進行交易,導致了約6萬美元的額外資產被盜。
③ 完全消失:MangoFarmSOL隨後停用了其社群媒體帳號並關閉了官方網站,並開始轉移資金。
第三步:資金轉移
Mango合約被竊資金流向
① 初始轉移:Mango合約中總共有13.5K枚SOL,價值約126萬美元,被盜後被送到地址8ggvi…..ejND7。
② 混合&轉換:接著,9,458枚SOL被送到4nBETJ以混淆資金鏈路;8ggvi和4nBE中的所有SOL隨後都轉換為USDC。
③ 跨鏈至以太坊:這些USDC經過Wormhole從Solana網路跨鏈到以太坊,並透過多次交易將這些USDC發送到4個不同的ETH位址。
380k USDC經過4次交易跨鏈至0x09e3
319k USDC跨鏈至0xc504
351k USDC跨鏈至0x6898
217k USDC跨鏈至0x8816
④ 最終清洗:進入以太坊網路後,USDC被換成ETH。然後,被盜資金透過Railgun(隱私混合器)進行清洗,並透過eXch(即時交換)進行交換,以進一步混淆資金。
傳輸至Railgun的交易範例
傳輸至eXch的交易範例
惡意前端盜取資金流向
① 整合與轉換:透過惡意前端竊取的使用者資產被整合為SOL,然後兌換成約5.86萬美元的USDC。
② 透過Allbridge跨鏈至以太坊:這些USDC在Allbridge經過2筆交易跨鏈到以太坊網絡,位址為0x7ca…..d8fec。
③ 最終清洗:橋接至以太坊的USDC被兌換為26枚ETH。隨後,這些資金透過多次存入FixedFloat。
被竊資金最終分佈
跨鏈到以太坊網路的被盜資金最終主要集中在三個地方:
-
eXch: 約292ETH
-
Railgun: 約263ETH
-
FixedFloat: 約26ETH
經驗總結
MangoFarmSOL騙局是2024年迄今最大規模的退出騙局。該騙局的手法與2023年Harvest Keeper事件有相似之處。這兩個項目在第一次盜竊發生之後又部署了惡意前端,進一步盜取用戶資金。
MangoFarmSOL退出騙局預計造成了132萬美元的損失,凸顯了去中心化計畫審查的迫切需求。
