ANC:CertiK首发：Mango market遭受攻击 损失1.16亿美元

北京时间2022年10月11日6:19，CertiK Skynet天网监测到Mango market遭到黑客攻击，截至目前已损失1.16亿美元。攻击者操纵MNGO代币的价格，并恶意借贷超出应有数额的资产。

攻击步骤

① 在此交易中，攻击者向第一个帐户（CQvKSNn...）提供了500万枚USDC。

② 攻击者在订单簿中提供了4.83亿单位的MNGO perps（做空）。

CertiK：NEO TOKYO项目Discord服务器遭到攻击:金色财经消息，据CertiK监测，NEO TOKYO项目Discord服务器遭到攻击，并发布了一条钓鱼链接。请社区用户在频道修复之前不要点击任何链接。[2022/12/18 21:52:23]

③ 之后攻击者向第二个账户（4ND8FVPjU...）注资。

Balancer生态收益治理平台Aura Finance将于6月9日开启LBP和上线:金色财经消息，SushiSwap联合创始人0xMaki将要推出的Balancer生态收益治理平台Aura Finance发推称，将于6月10日2:00进行为期5天的LBP，同时Aura合约和网站也将上线。在前两周，AURA总供应量的2%将分配给auraBAL质押者（包括选择锁定空投的用户）。Aura Finance将在6月16日开启aura BAL存款和加速流动性激励，同时开始向Balancer、Convex Finance和lobsterdao社区发放空投，不想锁定AURA的用户将需要为其空投认领支付30%的罚款，这些空投罚款将在协议启动一个月后累积并自动分配给vlAURA持有者。6月23日，vlAURA持有者将能够投票决定Aura的veBAL投票权应投向何处。[2022/6/5 4:02:59]

④ 然后以每单位0.0382美元的价格做多了4.83亿单位的MNGO perps。

YFII发起“分叉Balancer”倡议，将于今日20时上线BBX:此前据YFII社群表示，Balancer前端代码曾短时屏蔽YFII的流动性挖矿页面，代码显示将其定义为ScamPool（欺诈资金池）。而后Balancer官方已道歉并重新开发页面。

YFII官方对此表示不满，因而在推特上发起“分叉Balancer”的倡议，表示将于北京时间7月29日20:00上线BBX。[2020/7/29]

⑤ 攻击者通过操纵价格预言机上MNGO的价格（在Mango market里面的市场价格），将其拉高到0.91美元，从而在第二个账户上获利。

⑥ 由于MNGO/美元的价格为每单位0.91美元（在Mango market里面的市场价格），第二个账户能够在Mango market上借用其他代币。攻击者还用第二个账户中的资金（原始存款+将借贷的MNGO资金出售所得）在Mango market上借入其他代币。 

⑦ 上述借款行为使第一个帐户的坏账总额为11,306,771.61美元，造成了115,182,674.43美元的资产损失。

除此之外，攻击者已提交将代币发回的建议：

https://dao.mango.markets/dao/MNGO/proposal/3WZ5DpZXDvNAK4JwPS1HDPzSinEJUGpBC4XXx9vPtnVS

漏洞分析

攻击者操纵了价格预言机中Mango代币的价格。

例如其中一个价格预言机Switchboard使用的是FTX和Raydium提供的价格。Raydium(https://solscan.io/account/34tFULR...)的流动性极低，易于操作。

写在最后

攻击发生后，CertiK的推特预警账号以及官方预警系统已于第一时间发布了消息。同时，CertiK也会在未来持续于官方公众号发布与项目预警（攻击、欺诈、跑路等）相关的信息。

CertiK中文社区

企业专栏

阅读更多

宁哥的web3笔记

金色财经 庞邺

DoraFactory

金色财经Maxwell

新浪VR-

Foresight News

Footprint

元宇宙之道

Beosin

SmartDeerCareer

标签：CERANCNCEAURDSOCCER币Supreme FinanceYFS.FinanceXaurum

UNI热门资讯