盤點 Mango 被駭的整個過程,為何駭客會自行發起償還壞帳提案
Solana 借貸項目 Mango 12 日遭到了駭客攻擊,損失高達 1.15 億美元。隨後,駭客的行為卻令不少人大跌眼鏡。在攻擊事件發生不久後,該駭客在 realms 上發布了一項新的治理提案,希望 Mango 從金庫取約 7000 萬美元用於償還壞帳,如果官方同意,他願把盜走的資金還給 Mango 團隊。
截至目前,該提案已經獲得 99.9% 贊成,其中 90% 有這名駭客自己所投。
本文將為你梳理 Mango 被駭的整個流程,並分析為何駭客會作出這種行為,項目官方是向駭客妥協了嗎?
前情閱讀:
Solana的DeFi平台Mango遭潛在1億美元的駭客攻擊,$MNGO暴跌
Mango 被駭過程
結合加密研究員 @Joshua Lim 以及 @Mango 官方的事故報告,此次 Mango 被駭的過程大致如下:
駭客首先向 Mango 交易所 A(CQvKSNnYtPTZfQRQ5jkHq8q2swJyRsdQLcFcj3EmKFfX)、B(4ND8FVPjUGGjx9VuGFuJefDWpg3THb58c277hbVRnjNa)兩個地址分別轉入 500 萬美元。而後,駭客通過 A 地址在 Mango 上利用 MNGO 永續合約做空平台幣 MNGO,開倉價格 0.0382 美元,空單頭寸 4.83 億個;與此同時,他又在 B 地址上做多MNGO,開倉價格 0.0382 美元,多單頭寸 4.83 億個。(注:多空雙開的原因在於,Mango 平台深度較差,如果不和自己作對手盤,倉位就很難開到這麼高。)
在完成初步建倉後,攻擊者轉身攻擊多個平台(FTX 、Ascendex)上 MNGO 的現貨價格,致使價格出現 5- 10 倍的增長,該價格通過 Pyth 預言機 傳遞到其中 Mango 交易所,進一步推動價格上漲,最終 Mango 平台上 MNGO 價格從 0.0382 美元拉升至最高 0.91 美元。
此時,駭客的多頭頭寸收益為 4.83 億個*(0.91 美元- 0.0382 美元)= 4.2 億美元,駭客再利用帳戶淨資產從 Mango 進行借貸;好在平台流動性不足,駭客最終只借出近 1.15 億美元資產,其中包括:5441 萬 USDC 、76.85 萬個 MSOL(2530 萬美元)、76.16 萬個 SOL(2347 萬美元)、281 個 BTC (535.6 萬美元)、326 萬個 USDT 、235.4 萬個 SRM(173 萬美元)以及 3241 萬個 MNGO(66.7 萬美元),如下所示:
事故發生後,Mango 官方表示已在 10 月 12 日10:37 凍結 Mango 程序指令,以防止任何用戶進一步與協議交互。
實際上,Mango 此次遭遇攻擊本可以避免。早在今年 3 月,名為@Ozcal 的 Discord 用戶就在社群中提醒,Mango 對 MNGO 的頭寸沒有進行限制,可能導致駭客利用價格攻擊,套取平台資產。但彼時,沒人在意這一bug(除了駭客)。
下載Android版 | 下載iOS版 |
台灣用戶專享優惠活動(10,055 USDT 交易大禮包) <<<< |
駭客發起償還壞帳提案
在被攻擊後,Mango 官方發推稱正在採取措施應對,並希望駭客能主動聯繫商量還款事宜(可以保留部分作為賞金):「我們正在採取措施讓第三方凍結流動資金。作為預防措施,我們將在前端禁用存款,並將隨著情況的發展提供最新信息。」
與以往攻擊事件的劇情走向不同,此次的駭客的行為卻令人大跌眼鏡。在不久前,他竟在社區發起償還壞帳提案,指目前 Mango 金庫中,約有 7000 萬美元資金可用來償還壞帳,而如果 Mango 在提案通過後,將這些資金用來支付壞帳,他願把盜走的 MSOL、SOL 和 MNGO 發送至 Mango 團隊公佈的地址。
駭客在提案中主張:「協議中剩餘的全部壞帳,將由 Mango 金庫償還,沒有壞帳的用戶將不受影響,任何壞帳都會被視為 bug 賞金 / 保險,由 Mango 保險基金支付。如果 Mango 代幣持有者通過投案贊成此提案,就表示同意支付這筆賞金,並用金庫償還壞帳,同時放棄對壞帳帳戶的任何潛在索賠,一旦代幣按上面所述被償還,Mango 將不會進行任何刑事調查或凍結資產。」
這項提案投票將在 2 天後截止,目前獲得高達 99.9% 贊成,僅 0.1% 表示反對,但知名交易員 Hsaka 表示,其中有 3 千萬票是駭客用偷來的 $MNGO 自己投出來的。
Mango 項目方向駭客妥協了嗎?
據悉,駭客計劃送回的資產金額大約是 4943 萬美元,約為被盜資金的 42%,這意味著近半數的被盜資產被駭客留下作為「賞金」,這一比例遠高於以往攻擊事件中官方所承諾的上限。
Mango 官方表示,目前最好的解決方式是與攻擊者進行溝通。「Mango DAO 的優先事項是:防止任何進一步的不必要損失、確保 Mango 協議的存款人資金安全、嘗試挽救 Mango DAO 的一些價值。Mango 認為解決此問題的最具建設性的方法是繼續與負責該事件並控制從協議中移除的資金的人溝通,以嘗試友好地解決問題。」
法律專家、LegalDAO 發起人 MasterLi 認為,無論從哪個國家法律的視角,也無論這次投票是否能通過,駭客的犯罪性質是毫無疑問的,其試圖通過這種方式來逃避個人責任,這在任何國家法律下都是行不通的。
「另一個層面是 DAO 治理規則的層面。在缺少 DAO 實體的情況下,我認為 DAO 的治理規則可以被認為是 DAO 成員之間的某種合同或者契約。駭客通過盜取 Token 參與到合同關係中,行使提案的權利,法理上是絕對站不住腳的。換句話說,駭客提案和投票的權利本身就是有瑕疵的。這個意義上,『官方』如果以此為由否認這次提案(不確定 MangoDAO 是否有這樣的機制)也並不是毫無理由的,這並不有悖 DAO 的宗旨。這就好比說我去參與民主選舉,有人搶了我的選票幫我投票了,那這次投票毫無疑問是無效的。」
下載Android版 | 下載iOS版 |
台灣用戶專享優惠活動(10,055 USDT 交易大禮包) <<<< |
結語
以上就是關於Mango 被駭的全部過程了,希望對各位讀者有所幫助。
如果你想了解更多加密貨幣的資訊,可以進入 BTCC 學院 及 資訊 頁面進行查看。
BTCC 提供多種主流加密貨幣的合約交易,如果你想要尋找一個靠譜的交易所開始虛擬貨幣交易之旅,可以從 BTCC 開始,透過以下按鈕即可快速進行註冊。
此外,BTCC 正舉行豐富的贈金活動,詳情可以點擊下方連結進行查看:
》》》BTCC 活動頁面
APP支持掃碼下載
- 協議聲明
快速鏈接
風險提示:數字資產交易是一個新興產業,存在光明前景,但正因為屬於新事物,也蘊含巨大風險。特別是在槓桿交易中,槓桿倍數既同步擴大了盈利也同步放大了風險,請您務必對此行業、槓桿交易模式、交易規則等相關知識有充分了解後再參與。並且我們強烈建議您,在自身能夠承擔的風險範圍內進行交易。交易有風險,入市須謹慎!
全球運營最久的交易所,穩健運營13週年 © 2011-2024 BTCC.com. All rights reserved
評論
發表評論
您的電子信箱地址不會被公開。必填項目已標記為*
內容
名字
信箱