如同Mango 加密货币交易所官方网帐户上传的一条文章所显示,网络黑客仿佛在利用根据 Solana 的 DeFi 互联网的系统漏洞中采用了“预言机价格操纵”对策。
10 月中下旬,操盘手利用去中心化金融 (DeFi)交易网站 Mango Markets 的一个系统漏洞,从在网络上盗取了使用价值超出 1.1 亿美元数字货币。
Twitter 上的另一个贴子带来了事情怎么产生的具体归类。攻击者根据使用 USD Coin (美元兑美金1.00 美金) 500 万美金,用以购买平台的原生数字货币 Mango (MNGO) 代币的 483 个单位的永续合约。
攻击者应用这项技术将 MNGO 的售价在 0.03 美金推高至 0.91 美金,把它 MNGO 所持有的使用价值增至 4.23 亿美金。
这种资产随后被用以应用平台中几类代币得到 1.16 亿美元借款,比如BTC(BTC 20,862 美金), 索拉纳 (SOL 32 美金) 和血清蛋白 (SRM)。遗憾的是,该笔借款规避了 Mango Markets 中的所有流动性,造成 MNGO 的价钱大幅度下挫至 0.02 美金。
Mango Markets 的软件开发团队接着表明,她们正在处理发生的事,并且已经并对进行调查。该协议利用其不同类型的社交网络方式向客户提供此消息,并且表示在开展大量科学研究时已经暂时中止储蓄。除此之外,研究团队还告之客户,在禁止使用这个功能以前,她们应尽量避免将资金存进网址。
Mango Markets 是怎样被利用的
攻击者根据获得高额永续合约,可以控制 MNGO 代币价钱,在这么短时间内把它推高 30 倍。攻击者能通过利用有限的资源销售市场流动性来人为的拉高代币的价钱,通过一系列选购订单信息来推高价钱,随后利用新投资人做为撤出流动性TX来达到这一目标。这和拉高出货骗术中使用的思路同样。
但是,当流动性特别大时,这类利用难以开展,由于控制价钱所需要的现金量会高出很多。因为一个新的或相对性不确定的代币一般具备很少的流动性,因而该类代币更常见的就是拉升售卖方案。
假如 Mango Markets 有充足的流动性,它原本可以保护好自己免遭这类进攻。应用全自动做市 (AMM) 是 Mango Markets 很有可能用于提高流动性水准的一种对策。全自动做市是计算机语言,主要是通过从客户那边搜集流动性并运用各种公式来确定代币的价钱。
优化算法做市企业 Auros 的联合创始人兼CEO Ben Roth 告知 Cointelegraph:
“欠佳买卖交易是行业流动性不够的副产物。因而,当‘各种不良行为者’可以搭建因为流动性低而具有很强的确定性进攻空间向量时,开展该类‘利用’动机也会增加。”
“在和优化算法做市协作时,代币外国投资者与此同币种时抑止这类各种不良行为,另外在各种各样销售市场环境下创建对流动性一致性的自信,”他补充说。
大中型代币持有人,又称为流动性服务提供者 (LP),承担 AMM 的经营。LP 负责对相等的代币匹配(如 MNGO/USDC)引进池里。这也使得去中心化交易所能够业务外包其流动性,与此同时仍然以软件上收取交易手续费金额的方式向 LP 给予赔偿。
系统漏洞利用后
在 Mango Markets 被利用一天后,施暴者根据做为服务平台一部分的去中心化自治组织 (DAO) 给出了提议。攻击者提议 Mango DAO用之 7000 万美元财政还款一切未偿负债,而非应用攻击者资金。
该协议要求,Mango DAO 精英团队应选用其财政里的资产去弥补一切未还款的会计责任。以后,互联网犯罪嫌疑人会把失窃的代币发送至承担 Mango DAO 的部门所提供的详细地址。
以在系统漏洞利用期内应用数百万个动态口令进行投票,网络黑客好像适用这一念头,这是另一种控制。除此之外,此次事件的肇事人规定,假如抗议被批准,则不能对她们提到刑事诉讼法。
最后,Mango Markets 小区允许让攻击者保存绝大多数代币做为“系统漏洞悬赏金”。这种条文是买卖交易一部分,该买卖将退还使用价值 6700 万美元失窃代币,攻击者将剩下的 4700 万美金保存在失窃代币的 1.17 亿美金中。
该买卖是由 Mango DAO 的网络投票实现的,98% 的选举人(或 2.91 亿次代币)网络投票赞同。该提案包含 Mango Markets 错误网络黑客提到法律法规控告。
攻击者曝露了她的真实身份
该系统漏洞其背后的攻击者之后出来表露了她的真实身份。Avraham Eisenberg在 Twitter 上公布,他“参加了一个上星期执行高收益量化交易策略团队”,即一些对 Mango Markets 所进行的 1 亿美金进攻负责的人。
Eisenberg 接着说:“我坚信我们所有的个人行为都是合理的公开市场操作个人行为,依照设计方案使用协议,即便软件开发团队还没有完全想到按原状设定参数全部不良影响。”
他强调,因为该系统漏洞,Mango Markets 破产,他还表示保障金不能付款所发生的全部结算。因而,流失了使用价值超出一亿美元的消费者现钱。
但是,艾森伯格宣称他“协助与社会保障基金商谈达成协议协议书”,便于要为交易中心投资的并且让每个用户再度详细。艾森伯格在推文完毕时表示:“因为这一协议书,一旦 Mango 精英团队进行解决,每个用户将能够全额的浏览他的储蓄,不会亏损资产。”
艾森伯格再次宣称他们的行为是合理的,类似加密货币交易所的全自动脱虚向实。全自动去杠杆化是一个全过程,交易中心应用从取得成功投资者那里获得的那一部分盈利去弥补因别的投资者被清理而带来的损失。
但是,澳洲法律事务所 Piper Alderman 的合作伙伴 Michael Bacina 先前告知 Cointelegraph,“那这出现于受监管金融体系,很有可能会被称作销售市场控制。”
尽管本质上客户仍然能够对 Eisenberg 采用法律法规行为,但 Bacina 表明这一点在商业服务中不行得通,并强调:
“假定理赔在提案中依然存在,一切理赔仍需要减掉VIP因提案而接收到的一切额度,这往往意味着很多VIP提起诉讼艾森伯格老先生的产业动因比较有限。”
憧憬未来,看一下 DeFi 协议书如何有效维护其协议书将非常有趣,不论是应用 AMM 最先阻拦这种类别的系统漏洞利用,还是用接着法律行为
微信咨询
