CertiK首發：Mango market遭受攻擊 損失1.16億美元

發表於 2022-10-12 14:05 作者： CertiK中文社區

北京時間2022年10月11日6:19，CertiK Skynet天網監測到Mango market遭到黑客攻擊，截至目前已損失1.16億美元。攻擊者操縱MNGO代幣的價格，並惡意借貸超出應有數額的資產。

攻擊步驟

① 在此交易中，攻擊者向第一個帳戶（CQvKSNn...）提供了500萬枚USDC。

② 攻擊者在訂單簿中提供了4.83億單位的MNGO perps（做空）。

③ 之後攻擊者向第二個账戶（4ND8FVPjU...）注資。

④ 然後以每單位0.0382美元的價格做多了4.83億單位的MNGO perps。

⑤ 攻擊者通過操縱價格預言機上MNGO的價格（在Mango market裏面的市場價格），將其拉高到0.91美元，從而在第二個账戶上獲利。

⑥ 由於MNGO/美元的價格爲每單位0.91美元（在Mango market裏面的市場價格），第二個账戶能夠在Mango market上借用其他代幣。攻擊者還用第二個账戶中的資金（原始存款+將借貸的MNGO資金出售所得）在Mango market上借入其他代幣。 

⑦ 上述借款行爲使第一個帳戶的壞账總額爲11,306,771.61美元，造成了115,182,674.43美元的資產損失。

除此之外，攻擊者已提交將代幣發回的建議：

https://dao.mango.markets/dao/MNGO/proposal/3WZ5DpZXDvNAK4JwPS1HDPzSinEJUGpBC4XXx9vPtnVS

漏洞分析

攻擊者操縱了價格預言機中Mango代幣的價格。

例如其中一個價格預言機Switchboard使用的是FTX和Raydium提供的價格。Raydium(https://solscan.io/account/34tFULR...)的流動性極低，易於操作。

寫在最後

攻擊發生後，CertiK的推特預警账號以及官方預警系統已於第一時間發布了消息。同時，CertiK也會在未來持續於官方公衆號發布與項目預警（攻擊、欺詐、跑路等）相關的信息。

標題：CertiK首發：Mango market遭受攻擊 損失1.16億美元

地址：https://www.coinsdeep.com/article/7553.html

鄭重聲明：本文版權歸原作者所有，轉載文章僅為傳播信息之目的，不構成任何投資建議，如有侵權行為，請第一時間聯絡我們修改或刪除，多謝。