Come la manipolazione del mercato ha portato a un exploit da 100 milioni di dollari su Solana DeFi Exchange Mango

Un trader Cripto senza scrupoli ha utilizzato milioni di dollari per manipolare i prezzi dei token MNGO di Mango sull'omonimo exchange decentralizzato (DEX) per poi prosciugare oltre 116 milioni di dollari di liquiditàdalla piattaforma.

L'exchange consente agli utenti di negoziare future spot e perpetui utilizzando la sua interfaccia di trading on-chain a commissioni basse. Circa 30 milioni di $ di Cripto sono state scambiate sull'exchange nelle ultime 24 ore, come secondo i dati di CoinGecko.

La mossa è nata nel contesto di un dramma in corso legato a un debito inesigibile all'interno dell'ecosistema Solana DeFi che coinvolgeva l'applicazione di prestito Solend e Mango.

COME segnalato in precedenzaquesta mattina, Mango e Solend hanno collaborato all'inizio di quest'anno permettere insieme i fondi per salvare una grande balena Solana che aveva 207 milioni di dollari di debiti distribuiti su più piattaforme di prestito, in una mossa che avrebbe dovuto proteggere le potenziali perdite nell'ecosistema Solana se la posizione della balena fosse stata liquidata.

Come è avvenuto l'exploit

Mango, con sede a Solana, come altri DEX, si affida a contratti intelligenti per abbinare le negoziazioni tra utenti Finanza decentralizzata (DeFi). Questo è fondamentale per capire come è avvenuto l'attacco: i contratti intelligenti sono completamente decentralizzati e non sono supervisionati da una parte centralizzata, il che significa che un trader disonesto può impiegare abbastanza denaro per sfruttare le falle in qualsiasi protocollo senza il rischio che qualcuno intervenga per fermare l'attacco prima che abbia luogo.

Per condurre l'attacco sono stati utilizzati due account. Sull'account "A", il traderinizialmente è stata utilizzata USD Coin (USDC) per acquistare 483 milioni di MNGO e andare short, o scommettere contro, l'asset. Quindi sul conto "B", il trader ha utilizzato altri 5 milioni USDC per acquistare la stessa quantità di MNGO, utilizzando 10 milioni USDC in totale per coprire efficacemente la sua posizione, dati su Mango evidenziati dal responsabile dei derivati ​​di Genesis Joshua Lim spettacoli.

Il trader ha quindi utilizzato più fondi per acquistare token spot MNGO, portando il suo prezzo da soli 2 centesimi a ben 91 centesimi nell'arco di dieci minuti. Ciò è stato possibile perché spot MNGO era un token poco scambiato con bassa liquidità, il che ha consentito al trader disonesto di manipolare rapidamente i prezzi.

Con l'aumento dei prezzi spot MNGO, il conto "B" del trader ha rapidamente accumulato circa 420 milioni di $ in profitti non realizzati. L'attaccante ha quindi prelevato oltre 116 milioni di $ in liquidità da tutti i token disponibili su Mango, il che ha di fatto spazzato via il protocollo.

I prezzi spot MNGO sono presto tornati a 2 centesimi, scendendo sotto i prezzi che il trader ha utilizzato per la prima volta per acquistare future MNGO sul conto "A". Quel conto ha un profitto di oltre 6 milioni di dollari al momento della scrittura, ma non c'è più liquidità sulla piattaforma per pagare il trader.

Tutto sommato, il trader disonesto ha utilizzato oltre 10 milioni USDC per prelevare oltre 116 milioni di $ da Mango, pagando commissioni minime per aver condotto l'attacco e aver fatto tutto entro i parametri di come era stata progettata la piattaforma. Mango T è stata hackerata, ha funzionato esattamente come previsto e un trader esperto, sebbene con intenzioni nefaste, è riuscito a spremere liquidità token.

È importante notare che la strategia manipolativa di cui sopra T funzionerà su due exchange centralizzati, perché un trader che piazza offerte elevate su ONE sede significherebbe che i prezzi salirebbero automaticamente su quell'exchange e altri exchange aumenterebbero immediatamente il prezzo degli asset sui propri sistemi, il che significa che è improbabile che la strategia produca profitti.

Nel frattempo, gli sviluppatori di Mango hanno dichiarato mercoledì che gli oracoli di prezzi Switchboard e PYTH hanno aggiornato il prezzo di riferimento di MNGO a oltre $ 0,15, in linea con l'aumento dei prezzi su FTX e Ascendex. Gli oracoli sono strumenti di terze parti che recuperano dati dall'esterno di una blockchain al suo interno.

"Nessuno dei due provider di oracoli ha alcuna colpa in questo caso. Il reporting dei prezzi dell'oracolo ha funzionato come avrebbe dovuto", Mangoha scrittosu Twitter.

"L'attaccante ha pompato e scaricato il token mango, che è un token poco scambiato", ha scritto Kanav Kariya, presidente di Jump Cripto, un fondo Cripto che ha sostenuto pesantemente PYTH, in un tweet.

"Gli oracoli hanno semplicemente segnalato il prezzo. PYTH/Switchboard hanno segnalato con precisione i prezzi prevalenti sugli exchange", ha aggiunto Kariya. MNGO è sceso del 40% nelle ultime 24 ore.

CORREZIONE (12 ottobre 2022 14:14 UTC):Modifica il paragrafo sugli oracoli dei prezzi. Aggiunge un tweet di Mango che dice che gli oracoli dei prezzi hanno funzionato come avrebbero dovuto.