公鏈 Solana 借貸項目 Mango 今日遭遇駭客攻擊,損失超過 1.1 億美元,隨後駭客在社區發起償還壞帳提案,希望 Mango 從金庫取約 7000 萬美元用於償還壞帳,稱只要提案通過後執行,他願把盜走的資金還給 Mango 團隊。目前,該提案獲得 99.9% 贊成。
(前情提要:Solana 項目 Mango 遭駭!損失估超過一億美元,$MNGO 暴跌 57%)
(背景補充:拿槍逼的?Solend巨鯨已轉移2500萬鎂負債至Mango;大戶條款SLND3已通過)
公鏈 Solana 借貸項目 Mango 今(12)早遭受 1 億美元規模漏洞攻擊,駭客透過操縱預言機拉高抵押品價格,再大量借出代幣,導致超過 1.1 億美元損失,涉及資金包括 5300 萬枚 USDC、150 萬枚 SOL、281 枚 BTC、326 萬枚 USDT、3240萬枚 MNGO 等。
值得注意的是,駭客稍早竟在社區發起償還壞帳提案,指目前 Mango 金庫中,約有 7000 萬美元資金可用來償還壞帳,而如果 Mango 在提案通過後,將這些資金用來支付壞帳,他願把盜走的 MSOL、SOL 和 MNGO 發送至 Mango 團隊公佈的地址。
駭客在提案中主張:
協議中剩餘的全部壞帳,將由 Mango 金庫償還,沒有壞帳的用戶將不受影響,任何壞帳都會被視為 bug 賞金 / 保險,由 Mango 保險基金支付。
如果 Mango 代幣持有者通過投案贊成此提案,就表示同意支付這筆賞金,並用金庫償還壞帳,同時放棄對壞帳帳戶的任何潛在索賠,一旦代幣按上面所述被償還,Mango 將不會進行任何刑事調查或凍結資產。
這項提案投票將在 2 天後截止,目前獲得高達 99.9% 贊成,僅 0.1% 表示反對,但知名交易員 Hsaka 表示,其中有 3 千萬票是駭客用偷來的 $MNGO 自己投出來的。
攻擊事件解析
與此同時,區塊鏈安全機構 OtterSec 在推特上發布攻擊事件分析,指出此次攻擊不是閃電貸攻擊,攻擊者地址通過 FTX 獲得 550 萬美元資金,且幾乎操縱了所有交易所的價格,而不僅只有 Solana 預言機。
OtterSec 表示,攻擊者建立了 4.8 億枚 MNGO 規模的永續合約頭寸,並在另一個帳戶上進行對沖交易,接著攻擊者在多個交易所操縱 MNGO 價格飆升,同時利用頭寸未實現的 MNGO 收益來耗盡協議。
The attacker created a ~480M MNGO-PERP position and countertraded themself on another account.
They then manipulated the price of MNGO up across a number of exchanges, borrowing against their unrealized MNGO gains to drain the protocol. pic.twitter.com/pGoLzYszYQ
— OtterSec (@osec_io) October 12, 2022
針對此事件造成的其他影響,OtterSec 指出:
插句題外話,這些駭客行為通常會對社區產生重大影響,價格飆升導致 Mango Markets 出現超過 4000 份空頭合約清算。而正如預期的那樣,當 MNGO 恢復正常價格時,攻擊者帳戶的抵押品嚴重不足,有 4.7 億的未平倉空頭合約。
As expected, when MNGO returned to its normal value, the attacker account becomes massively undercollateralized, with a 470M contract short open. pic.twitter.com/pPsqElhx8N
— OtterSec (@osec_io) October 12, 2022
UXD Protocol 、 Tulip Protocol 公告受影響金額
Solana 生態算法穩定幣協議 UXD Protocol 稍早則發布公告宣布,在此次攻擊事件中,該協議總曝險金額為 1998 萬 6134.9037 美元,但其保險基金足以彌補損失,一旦 Mango Markets 從漏洞攻擊中恢復運作,用戶將可以贖回。
該公告表示,協議保險基金總額為 5352 萬 7304.7757 美元,而團隊已暫停 UXD 鑄造,以實現風險最小化,只要確認 Mango Markets 的問題解決,將重新啟用鑄幣功能,用戶可在 Jupiter Exchange 將 UXD 兌換為 USDC,該交易所有足夠的流動性來等值兌換 USDC。
UXD Protocol has a total exposure of $19,986,133.9037 in @mangomarkets. Our insurance fund has more than enough capital to cover losses.
UXD is 100% backed and users will be able to redeem once Mango Markets recovers from the exploit.— UXD (@UXDProtocol) October 12, 2022
Solana 生態收益聚合器和槓桿收益耕作平台 Tulip Protocol 則表示,在 Mango 攻擊事件中,其曝險僅限於 USDC/RAY 策略資金庫的一部分,即 246 萬 5841.497167 枚 USDC 和 6 萬 6721.925355 枚 RAY,該協議暫時停用策略庫的提款,但有足夠資金來補償必要損失。
Tulip's exposure is limited to portions of our USDC/RAY strategy vaults for 2,465,841.497167 USDC & 66,721.925355 RAY.
Withdrawals on strategy vaults have been disabled for the time being. Rest assured, as we have enough funding to backstop the losses if necessary.
— Tulip Protocol (@TulipProtocol) October 12, 2022
📍相關報導📍
Solana 共同創辦人:加密貨幣熊市恐持續 12-18 個月以上