[Fitur] Pasar Mangga: Target Juicy untuk Eksploitasi Seratus Juta

Pada 12 Oktober, Mango, platform keuangan terdesentralisasi berdasarkan Solana, dieksploitasi sekitar $116 juta dolar.

Selain itu, Mango juga mengalami serangan sekunder oleh peretas saat mereka memanipulasi proposal DAO.

1. Menurut analisis mendalam oleh CertiK Skynet, rencana serangan yang tepat adalah sebagai berikut:

Pertama, penyerang menyuntikkan $5 juta ke akun pertama (CQvKSNnY...) dan kemudian mempersingkat 483 juta unit MNGO-PERP.

Setelah itu, penyerang kemudian mendanai akun kedua (4ND8FVPjU...) dan kemudian mendambakan 483 juta unit MNGO-PERP dengan $0,0382 per unit.

Penyerang mendapat untung di akun kedua dengan memanipulasi harga pasar MNGO di Switchboard dan oracle Pyth menjadi $0,15+, yang selanjutnya menyebabkan peningkatan mark-to-market dalam nilai di akun kedua.

Tak lama kemudian, akun kedua digunakan untuk memaksimalkan pinjaman pada token lain di Mango, termasuk BTC (sollet), USDT, SOL, mSOL, dan USDC, dan ditransfer keluar. Nilai bersih yang diambil oleh akun tersebut berjumlah sekitar $116 juta.

2. Manipulasi Tata Kelola DAO Mango yang epik

Setelah mencuri aset, peretas meluncurkan proposal di Mango -> menggunakan $70 juta dari bendahara untuk membayar utang macet.

Setelah proposal disetujui, token senilai sekitar $40 juta akan dikembalikan ke Mango oleh peretas. Peretas juga meminta sisa dana yang diretas untuk dianggap sebagai hadiah bug dan tidak ada penyelidikan kriminal yang akan dilakukan.

Peretas kemudian menggunakan token tata kelola yang dicuri untuk memilih "ya" pada proposal.

Catatan: Saat ini, jumlah peserta pemungutan suara telah melebihi 30 juta, dan proposal hanya dapat disahkan jika jumlah suara persetujuan melebihi 100 juta.

3. Dampak kejadian

Protokol UXD dengan stablecoin terdesentralisasi mereka UXD secara resmi mengumumkan total eksposur mereka sebesar $19.986.134,9037 di Mango dan meyakinkan pengguna bahwa dana asuransi mereka memiliki modal lebih dari cukup untuk menutupi kerugian.

Total Value Locked (TVL) di Solana juga turun menjadi US$1,04 miliar pada pukul 11:00 di hari yang sama, dengan penurunan 24 jam sebesar 19,9%.

Platform agregasi hasil TulipProtocol memiliki eksposur terbatas di Mango dengan hanya kubah strategi USDC/Ray yang kehilangan sekitar $2,5 juta USDC dan 66.721 RAY.

4. Garis waktu eksploitasi penuh di Mango

12 Oktober, 07:00

OtterSec men-tweet bahwa platform keuangan terdesentralisasi berbasis Solana, Mango, terkuras lebih dari $100 juta.

12 Oktober, 07:36

Menanggapi potensi serangan $ 100 juta, Mango mengatakan sedang menyelidiki insiden peretas yang mengekstraksi dana dari Mango melalui manipulasi harga oracle dan mengambil langkah-langkah untuk membekukan likuiditas pihak ketiga.

Sebagai tindakan pencegahan, Mango akan menonaktifkan deposit di bagian depan dan akan memberikan pembaruan seiring berkembangnya situasi, dan terbuka untuk membahas hadiah pengembalian dana.

12 Oktober, 08:20

UXDProtocol menyatakan bahwa mereka memiliki eksposur total sebesar $19.986.134,9037 di Mango dan meyakinkan pengguna bahwa dana asuransi mereka memiliki modal yang lebih dari cukup untuk menutupi kerugian. Pengguna juga dapat menukarkan dana ini setelah Mango pulih.

12 Oktober, 09:00

Setelah mencuri aset, peretas meluncurkan proposal di Mango untuk menggunakan $70 juta dari bendahara untuk membayar utang macet.

Setelah proposal disetujui, token senilai sekitar $40 juta akan dikembalikan ke Mango oleh peretas. Peretas juga meminta sisa dana yang diretas untuk dianggap sebagai hadiah bug dan tidak ada penyelidikan kriminal yang akan dilakukan.

Peretas kemudian menggunakan token tata kelola yang dicuri untuk memilih "ya" pada proposal.

Catatan: Saat ini, jumlah peserta pemungutan suara telah melebihi 30 juta, dan proposal hanya dapat disahkan jika jumlah suara persetujuan melebihi 100 juta.

12 Oktober, 12:30

Mango merilis laporan terperinci tentang serangan itu.

2 akun yang didanai dengan USDC mengambil posisi yang sangat besar di MNGO-PERP.

Harga MNGO/USD yang mendasari di berbagai bursa (FTX, Ascendex) mengalami kenaikan harga 5-10x dalam hitungan menit.

Hal ini menyebabkan oracle Switchboard dan Pyth memperbarui harga tolok ukur MNGO mereka menjadi $0,15+.

Hal ini selanjutnya menyebabkan peningkatan mark-to-market pada nilai akun yang long MNGO-PERP dari keuntungan yang belum direalisasi.

Ini memungkinkan akun untuk meminjam dan menarik BTC (sollet), USDT, SOL, mSOL, USDC dari protokol Mango, memaksimalkan pinjaman yang tersedia dari deposit setara $190 juta di platform.

Pada 10:37 tanggal 12 Oktober, instruksi program Mango dibekukan untuk mencegah pengguna berinteraksi lebih jauh dengan protokol.

Prioritas DAO Mangga adalah untuk mencegah kerugian lebih lanjut yang tidak perlu, mengamankan dana deposan untuk Protokol Mangga, dan mencoba menyelamatkan sebagian nilai DAO Mangga.

Mango percaya cara paling konstruktif untuk menyelesaikan ini adalah terus berkomunikasi dengan orang yang bertanggung jawab atas insiden tersebut dan mendapatkan kendali atas dana yang dikeluarkan dari protokol untuk menyelesaikan masalah secara damai.