Solana 借贷项目Mango 12 日遭到了黑客攻击,损失高达1.15 亿美元。随后,黑客的行为却令不少人大跌眼镜。在攻击事件发生不久后,该黑客在realms 上发布了一项新的治理提案,希望Mango 从金库取约7000 万美元用于偿还坏帐,如果官方同意,他愿把盗走的资金还给Mango 团队。
截至目前,该提案已经获得99.9% 赞成,其中90% 有这名黑客自己所投。
本文将为你梳理Mango 被黑的整个流程,并分析为何黑客会作出这种行为,项目官方是向黑客妥协了吗?
Mango 被黑过程
结合加密研究员@Joshua Lim 以及@Mango 官方的事故报告,此次Mango 被黑的过程大致如下:
黑客首先向Mango 交易所A(CQvKSNnYtPTZfQRQ5jkHq8q2swJyRsdQLcFcj3EmKFfX)、B(4ND8FVPjUGGjx9VuGFuJefDWpg3THb58c277hbVRnjNa)两个地址分别转入500 万美元。而后,黑客通过A 地址在Mango 上利用MNGO 永续合约做空平台币MNGO,开仓价格0.0382 美元,空单头寸4.83 亿个;与此同时,他又在B 地址上做多MNGO,开仓价格0.0382 美元,多单头寸4.83 亿个。(注:多空双开的原因在于,Mango 平台深度较差,如果不和自己作对手盘,仓位就很难开到这么高。)
在完成初步建仓后,攻击者转身攻击多个平台(FTX 、Ascendex)上MNGO 的现货价格,致使价格出现5- 10 倍的增长,该价格通过Pyth 预言机传递到其中Mango 交易所,进一步推动价格上涨,最终Mango 平台上MNGO 价格从0.0382 美元拉升至最高0.91 美元。
此时,黑客的多头头寸收益为4.83 亿个*(0.91 美元- 0.0382 美元)= 4.2 亿美元,黑客再利用账户净资产从Mango 进行借贷;好在平台流动性不足,黑客最终只借出近1.15 亿美元资产,其中包括:5441 万USDC 、76.85 万个MSOL(2530 万美元)、76.16 万个SOL(2347 万美元)、281 个BTC (535.6 万美元)、326 万个USDT 、235.4 万个SRM(173 万美元)以及3241 万个MNGO(66.7 万美元),如下所示:
事故发生后,Mango 官方表示已在10 月12 日10:37 冻结Mango 程序指令,以防止任何用户进一步与协议交互。
实际上,Mango 此次遭遇攻击本可以避免。早在今年3 月,名为@Ozcal 的Discord 用户就在社群中提醒,Mango 对MNGO 的头寸没有进行限制,可能导致黑客利用价格攻击,套取平台资产。但彼时,没人在意这一bug(除了黑客)。
黑客发起偿还坏帐提案
在被攻击后,Mango 官方发推称正在采取措施应对,并希望黑客能主动联系商量还款事宜(可以保留部分作为赏金):「我们正在采取措施让第三方冻结流动资金。作为预防措施,我们将在前端禁用存款,并将随着情况的发展提供最新信息。」
与以往攻击事件的剧情走向不同,此次的黑客的行为却令人大跌眼镜。在不久前,他竟在社区发起偿还坏帐提案,指目前Mango 金库中,约有7000 万美元资金可用来偿还坏帐,而如果Mango 在提案通过后,将这些资金用来支付坏帐,他愿把盗走的MSOL、SOL 和MNGO 发送至Mango 团队公布的地址。
黑客在提案中主张:「协议中剩余的全部坏帐,将由Mango 金库偿还,没有坏帐的用户将不受影响,任何坏帐都会被视为bug 赏金/ 保险,由Mango 保险基金支付。如果Mango 代币持有者通过投案赞成此提案,就表示同意支付这笔赏金,并用金库偿还坏帐,同时放弃对坏帐帐户的任何潜在索赔,一旦代币按上面所述被偿还,Mango 将不会进行任何刑事调查或冻结资产。」
这项提案投票将在2 天后截止,目前获得高达99.9% 赞成,仅0.1% 表示反对,但知名交易员Hsaka 表示,其中有3 千万票是黑客用偷来的$MNGO 自己投出来的。
Mango 项目方向黑客妥协了吗?
据悉,黑客计划送回的资产金额大约是4943 万美元,约为被盗资金的42%,这意味着近半数的被盗资产被黑客留下作为「赏金」,这一比例远高于以往攻击事件中官方所承诺的上限。
Mango 官方表示,目前最好的解决方式是与攻击者进行沟通。「Mango DAO 的优先事项是:防止任何进一步的不必要损失、确保Mango 协议的存款人资金安全、尝试挽救Mango DAO 的一些价值。Mango 认为解决此问题的最具建设性的方法是继续与负责该事件并控制从协议中移除的资金的人沟通,以尝试友好地解决问题。」
法律专家、LegalDAO 发起人MasterLi 认为,无论从哪个国家法律的视角,也无论这次投票是否能通过,黑客的犯罪性质是毫无疑问的,其试图通过这种方式来逃避个人责任,这在任何国家法律下都是行不通的。
「另一个层面是DAO 治理规则的层面。在缺少DAO 实体的情况下,我认为DAO 的治理规则可以被认为是DAO 成员之间的某种合同或者契约。黑客通过盗取Token 参与到合同关系中,行使提案的权利,法理上是绝对站不住脚的。换句话说,黑客提案和投票的权利本身就是有瑕疵的。这个意义上,『官方』如果以此为由否认这次提案(不确定MangoDAO 是否有这样的机制)也并不是毫无理由的,这并不有悖DAO 的宗旨。这就好比说我去参与民主选举,有人抢了我的选票帮我投票了,那这次投票毫无疑问是无效的。」
结语
以上就是关于Mango 被黑的全部过程了,希望对各位读者有所帮助。
本文链接地址:https://www.wwsww.cn/DeFi/14009.html
郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。