Hacker lợi dụng thanh khoản thấp trên sàn Mango để mở 1 lệnh Long lớn, khiến giá token pump, kiếm lời nhanh chóng và rút lợi nhuận ra khỏi sàn.
Mango Markets bị hack, bị rút đi một lượng lớn tiền bằng cách thao túng giá. Mango tuyên bố đang liên hệ với các bên liên quan để truy dấu và ngăn chặn người này tẩu tán tiền. Dự án cũng đã yêu cầu người dùng ngừng sử dụng nền tảng cho đến khi vấn đề được giải quyết.
We are currently investigating an incident where a hacker was able to drain funds from Mango via an oracle price manipulation.
We are taking steps to have third parties freeze funds in flight. 1/
— Mango (@mangomarkets) October 11, 2022
Đơn vị bảo mật Hacken đã trình bày cách thức Mango Markets bị lấy cắp tiền như sau:
We are currently investigating an incident where a hacker was able to drain funds from Mango via an oracle price manipulation.
We are taking steps to have third parties freeze funds in flight. 1/
— Mango (@mangomarkets) October 11, 2022
- Hacker nạp 5 triệu USDC vào Mango Markets và mở một vị thế long token MNGO với kích thước khoảng 19 triệu USD.
- Vị thế long này đã khiến giá token MNGO tăng đến 167% chỉ trong chưa đến một giờ đồng hồ, kéo theo đó là giá trị tài sản thế chấp trong tài khoản của hacker. Nguyên nhân điều này có thể xảy ra là bởi volume giao dịch của MNGO trên Mango là rất thấp, chỉ đạt gần 19 triệu USD trong 24 giờ qua – tức bằng với kích thước lệnh mà hacker đã mở.
- Hacker sau đó dùng lượng tài sản thế chấp tăng vọt trên để vay hàng loạt các token khác và rút các token khác về, với tổng giá trị lên đến 114 triệu USD.
Danh sách các token bị rút đi gồm 52,8 triệu USDC; 50,5 triệu USD SOL; 5,4 triệu USD BTC; 3,2 triệu USDT; 1,7 triệu USD USDT và 14,7 triệu USD MNGO.
5. The attacker has stolen the assets worth around $114M pic.twitter.com/K0nQNLdCOU
— Hacken🇺🇦 at Devcon 🇨🇴 (@hackenclub) October 11, 2022
Có thể thấy phương thức tấn công trên là tương tự với cách mà kẻ tấn công GMX – một nền tảng giao dịch phái sinh trên Arbitrum – đã sử dụng để kiếm lời thông qua việc thao túng giá AVAX vào giữa tháng 9.
Giá token MNGO sau đó đã bị dump mạnh, giảm đến 53% so với mức trước khi cú pump.
Mango Markets là vụ tấn công tiền mã hóa với giá trị khủng thứ hai trong tháng 10, sau sự kiện cầu nối của BNB Chain bị lấy đi 586 triệu USD vào tuần trước.
Cũng trong buổi sáng ngày 12/10, tài khoản được cho là của kẻ tấn công vào Mango Markets đã gửi một đề xuất lên diễn đàn dự án, tuyên bố sẵn sàng trả lại một phần tiền để đổi lại việc không bị điều tra và truy cứu hình sự. Đề xuất cụ thể là như sau:
The hacker has spoken https://t.co/W4v8ACd3OV pic.twitter.com/YuVp5T5JDe
— Alex Dai (@parallelo_piped) October 12, 2022
“Hoàn trả nợ xấu
Xin chào, quỹ riêng của Mango đang có khoảng 70 triệu USDC có thể được dùng để bù vào phần nợ xấu.
Tôi có đề nghị như sau. Nếu được thông qua, tôi sẽ trả MSOL, SOL và MNGO đến một địa chỉ do đội ngũ Mango chỉ định. Quỹ của Mango sẽ chi trả phần tiền thiếu hụt còn lại để tất cả người dùng đều được bồi thường. Phần tiền được tôi giữ sẽ được xem là phần thưởng phát hiện lỗi (bug bounty). Thông qua việc bỏ phiếu cho đề xuất này, người nắm giữ token Mango đồng ý trả bug bounty cho tôi và sử dụng quỹ của dự án để bù vào phần nợ xấu, đồng thời từ bỏ quyền khiếu nại các tài khoản còn nợ xấu, và sẽ không tiến hành điều tra hay đóng băng tiền một khi tôi đã hoàn trả lượng token nêu trên.”
Như vậy, theo đề xuất thì hacker chấp thuận hoàn trả toàn bộ lượng SOL, MSOL và MNGO đã lấy đi, tương đương số tiền khoảng 65,2 triệu USD, và giữ lại lượng 48,8 triệu USD các token khác.
Kẻ tấn công sau đó đã dùng lượng 32,4 triệu MNGO của mình để bỏ phiếu ủng hộ đề xuất, áp đảo tỷ lệ phản đối. Đề xuất này cần 67 triệu MNGO để được thông qua, và sẽ kết thúc bỏ phiếu sau 2 ngày 20 giờ nữa.
