MANGO:钞能力攻击 黑客如何用一千万“撬动”Solana 生态上亿资金？

北京时间今天清晨，成都链安鹰眼-Web3安全预警与监控平台监测显示，Solana生态去中心化交易平台Mango遭遇黑客攻击，影响高达1.16亿美元。

根据Odaily星球日报的报道，Mango官方随后发推文称正在采取措施应对，并希望黑客能主动联系商量还款事宜：“我们正在采取措施让第三方冻结流动资金。作为预防措施，我们将在前端禁用存款，并将随着情况的发展提供最新信息。”

与以往攻击事件的剧情走向不同，这次的黑客“戏瘾很足”，其在realms上发布了一项新的治理提案：希望Mango官方使用项目国库资金偿还用户坏账；如果官方同意，黑客将返还部分被盗资金，同时希望免受刑事调查或冻结资产。有加密爱好者评论称，Mango黑客算是将DeFi与DAO玩得明白。

Convex将迁移所有Arbitrum流动性池，LP需使用新合约取消并重新抵押:据官方公告，CRV 质押和流动性挖矿一站式平台 Convex Finance 上的所有 Arbitrum 流动性池将在接下来的 24-48 小时内迁移，一旦部署了新合约，将会有后续公告。现有的流动性提供者将需要使用新合约取消抵押并重新抵押。[2023/3/19 13:12:51]

截至目前，该提案获得3290万投票赞成，其中3241万票由黑客自己所投，距离通过门槛还有一半的距离。

针对本次事件，成都链安安全团队进行了分析。

1?“价格操纵”攻击手法讲解

黑客使用了两个账户，一共1000万USDT起始资金。

第一步，攻击者向Mango市场存入了5MUSDC。

Doodles系列NFT24小时交易额跌幅达25.25%:金色财经报道，据NFTGo数据显示，Doodles系列NFT总市值达2.73亿美元，在所有NFT项目总市值排名中位列第12；其24小时交易额为325,152.71美元，跌幅达25.25%。截止发稿时，该系列NFT当前地板价为12.8ETH，涨幅为0.79%。[2022/7/3 1:46:49]

第二步，攻击者在MNGO-ERP市场创建了一个483M的PlacePerpOrder2头寸。

灰度CEO：仍致力于将GBTC转换为比特币现货ETF:金色财经消息，美国SEC批准或拒绝GBTC转换为比特币现货ETF申请的最后期限为7月6日。随着这一日期临近，灰度首席执行官Michael Sonnenshein发布致投资者的公开信，重申公司为争取公众支持这一转换所采取的措施。Sonnenshein表示，灰度明确承诺将GBTC转换为比特币现货ETF，并且不遗余力，充分利用公司的所有资源。

Sonnenshein指出， 一旦获得适当的监管批准，GBTC已准备好转换为比特币现货ETF。为了实现这一转换，灰度选择的合作伙伴包括纽约梅隆银行（BNY Mellon）和安永。

如果SEC不允许GBTC转换为比特币现货ETF，灰度也在探索其他选择。灰度的法律团队（包括公司内部律师和Davis Polk的律师）已经阐述支持GBTC转换为比特币现货ETF的深思熟虑、全面的论点。最近，灰度聘请前美国司法部副部长Donald B. Verrilli, Jr担任高级法律策略师。灰度已经建立最强大的法律团队，帮助阐明这一问题的重要性。[2022/6/28 1:34:44]

NFT 借贷协议 XCarnival 遭到攻击，黑客获利约 380 万美元:6月26日消息，PeckShield 发推称，NFT 借贷协议 XCarnival 遭到攻击，黑客获利 3087 枚以太坊（约 380 万美元），而协议损失可能更高。黑客地址为 0xb7CBB4d43F1e08327A90B32A8417688C9D0B800a，PeckShield 表示本次攻击或由于已解除抵押的 NFT 仍被作为抵押品所致。[2022/6/27 1:33:01]

第三步，MNGO的价格被操纵，从0.0382美元到0.91美元，通过使用一个单独的账户对其头寸进行对手交易。

Account2

账户2现在有483*(0.91-0.03298美元)=4.23亿美元，这使得攻击者可以借出1.16亿美元的资金。

2??项目方向黑客妥协？

该黑客在Mango治理上提出了一个提案，试图通过谈判获得赏金。该提案要求Mango?Treasury支付7000万以偿还坏账。黑客将放弃一半的收益以避免法律起诉。?

据了解，目前项目国库资金约为1.44亿美元，其中包括价值8850万美元的MNGO代币以及近6000万美元的USDC。

黑客表示，如果官方同意上述方案，将返还部分被盗资金，同时希望不会被进行刑事调查或冻结资金。“如果这个提案通过，我将把这个账户中的MSOL、SOL和MNGO发送到Mango团队公布的地址。Mango项目国库将用于覆盖协议中剩余的坏账，所有坏账的用户将得到完整补偿……一旦代币如上述所述被送回，将不会进行任何刑事调查或冻结资金。”

根据前文统计可以得知，黑客计划送回的资产金额大约是4943万美元，约为被盗资金的42%，这意味着近半数的被盗资产被黑客留下作为「赏金」，这一比例远高于以往攻击事件中官方所承诺的上限。

Mango官方表示，目前最好的解决方式是与攻击者进行沟通。“MangoDAO的优先事项是：防止任何进一步的不必要损失、确保Mango协议的存款人资金安全、尝试挽救MangoDAO的一些价值。Mango认为解决此问题的最具建设性的方法是继续与负责该事件并控制从协议中移除的资金的人沟通，以尝试友好地解决问题。”

目前尚不清楚官方最终是否会同意该提案并进行实施。截至发稿前，黑客提案获得3290万投票赞成，其中3241万票由黑客自己所投，距离通过门槛6709万票还有不小的距离。

标签：MANMANGONFTGBTCMAN价格MangoMan IntelligentDNFT ProtocolGBTC币

SAND热门资讯