De hacker wil dat Mango Market de $70 miljoen in zijn schatkist gebruikt om oninbare schulden af te lossen.
De $100 miljoen exploit van Solana-gebaseerd gedecentraliseerd protocol Mango Markets heeft de waarde van zijn native token MNGO en die van SOL de afgelopen 24 uur in een spiraal naar beneden gestuurd.
Onzegegevens laten zien dat de MNGO token in de afgelopen 24 uur met meer dan 40% is gedaald tot $0,02396. Gedurende deze periode verloor SOL ook ongeveer 1% van zijn waarde om te handelen op $31.
Ondertussen daalde de totale waarde van de in Solana opgesloten activa met 23% tot $ 997 miljoen van $ 1,32 miljard, volgens gegevens van DeFillama. Dit is de eerste keer dat Solana’s TVL sinds juli 2021 onder de $1 miljard is gedaald.
The exploit
Mango Market verklaarde dat de hacker de waarde van MNGO manipuleerde door een te grote positie in MNGO-PERP in te nemen en zelf tegen te handelen met een ander account. Hierdoor steeg de USD-waarde van MNGO op verschillende beurzen.
Omstreeks 22:00 UTC 11 oktober was er in het protocol een incident met het volgende:
-2 rekeningen gefinancierd met USDC namen een te grote positie in MNGO-PERP.
-Onderliggende MNGO/USD prijzen op verschillende beurzen (FTX, Ascendex) ondergingen een 5-10x prijsstijging in enkele minuten
– Mango (@mangomarkets) Oktober 12, 2022
De prijs orakels Switchboard en Pyth verhoogden de benchmark MNGO prijs op basis hiervan, wat een “mark-to-market stijging van de waarde van de rekening die long MNGO-PERP was van de ongerealiseerde winst” veroorzaakte.
Hierdoor kon de hacker voor 100 miljoen dollar aan activa opnemen, wat alle liquiditeit op het protocol was.
Blockchainbeveiligingsbedrijf OtterSec schreef dat de aanvaller het onderpand van Mango manipuleerde, waardoor hij massale leningen uit de schatkist kon opnemen.
Het lijkt erop dat de aanvaller het onderpand van Mango kon manipuleren. Ze verhoogden tijdelijk de waarde van hun onderpand en namen vervolgens enorme leningen op uit de Mango schatkist. pic.twitter.com/2IJrB9RcEJ
– OtterSec (@osec_io) Oktober 11, 2022
Hacker doet voorstel
De hacker heeft zijn voorwaarden voor het teruggeven van de fondsen vrijgegeven via een voorstel dat is ingediend bij de DAO.
Volgens de hacker zou Mango oninbare schulden moeten terugbetalen met de $70 miljoen USDC van zijn schatkist. De slechte schuld in het voorstel komt van een bailout door Mango Markets en Solend voor een Solana walvis met ongeveer $207 miljoen schuld over meerdere leenplatforms op Solana.
De leenprotocollen hadden een bailout samengesteld om de markt te beschermen tegen het risico van besmetting als de walvisposities zouden worden geliquideerd.
In het voorstel staat: “elke slechte schuld zal worden gezien als een bug bounty/verzekering, betaald uit het mango verzekeringsfonds.” De hacker vraagt ook dat Mango token houders afzien van hun recht om eventuele claims tegen rekeningen met een slechte schuld te vervolgen.
Hij wil ook de verzekering dat er geen criminele actie of bevriezing van fondsen zou plaatsvinden. Vanaf het moment van schrijven hebben 33 miljoen mensen (99%) voor het voorstel gestemd.
Ondertussen wees een Twitter-gebruiker, foobar, erop dat de “ja”-stemmen afkomstig waren van de aanvaller. De aanvaller zou nog minstens 67 miljoen stemmen nodig hebben om een quorum te bereiken.
Mango Markets response
Mango Markets’ team heeft gezegd dat zijn primaire focus is om verdere verliezen te voorkomen, ervoor te zorgen dat depositohouders schadeloos worden gesteld en enige waarde voor het protocol te redden.
DAO prioriteiten zijn:
➡️ Het voorkomen van verdere onnodige verliezen (reeds bereikt door het stoppen van programma-instructies)
➡️ Ervoor zorgen dat inleggers van het Mango protocol volledig worden vergoed
➡️ Om te proberen enige waarde in de Mango DAO en het protocol te redden om vanaf hier opnieuw op te bouwen
– Mango (@mangomarkets) Oktober 12, 2022
Het platform is nu ook bevroren om verdere stortingen te voorkomen.