Sáng ngày 12/10, nền tảng giao dịch phái sinh Mango Markets trên Solana đã bị kẻ xấu tấn công, bòn rút số tiền lên đến 114 triệu USD.
Cập nhật:
Cũng trong buổi sáng ngày 12/10, tài khoản được cho là của kẻ tấn công vào Mango Markets đã gửi một đề xuất lên diễn đàn dự án, tuyên bố sẵn sàng trả lại một phần tiền để đổi lại việc không bị điều tra và truy cứu hình sự. Đề xuất cụ thể là như sau:
Bài viết gốc:
Theo thông báo đăng tải trên Twitter, Mango Markets xác nhận là đã bị tấn công, theo đó kẻ gian đã rút đi một lượng lớn tiền từ dự án bằng cách thao túng giá. Mango tuyên bố đang liên hệ với các bên liên quan để truy dấu và ngăn chặn người này tẩu tán tiền. Dự án cũng đã yêu cầu người dùng ngừng sử dụng nền tảng cho đến khi vấn đề được giải quyết.
Đơn vị bảo mật Hacken đã trình bày cách thức Mango Markets bị lấy cắp tiền như sau:
– Kẻ tấn công đã nạp 5 triệu USDC vào Mango Markets và mở một vị thế long token MNGO với kích thước khoảng 19 triệu USD.
– Vị thế long này đã khiến giá token MNGO tăng đến 167% chỉ trong chưa đến một giờ đồng hồ, kéo theo đó là giá trị tài sản thế chấp trong tài khoản của hacker. Nguyên nhân điều này có thể xảy ra là bởi volume giao dịch của MNGO trên Mango là rất thấp, chỉ đạt gần 19 triệu USD trong 24 giờ qua – tức bằng với kích thước lệnh mà hacker đã mở.
– Kẻ tấn công sau đó dùng lượng tài sản thế chấp tăng vọt trên để vay hàng loạt các token khác và rút các token khác về, với tổng giá trị lên đến 114 triệu USD.
Danh sách các token bị rút đi gồm 52,8 triệu USDC; 50,5 triệu USD SOL; 5,4 triệu USD BTC; 3,2 triệu USDT; 1,7 triệu USD USDT và 14,7 triệu USD MNGO.
Có thể thấy phương thức tấn công trên là tương tự với cách mà kẻ tấn công GMX – một nền tảng giao dịch phái sinh trên Arbitrum – đã sử dụng để kiếm lời thông qua việc thao túng giá AVAX vào giữa tháng 9.
Giá token MNGO sau đó đã bị dump mạnh, giảm đến 53% so với mức trước khi cú pump “nhân tạo” của hacker diễn ra.
Mango Markets là vụ tấn công tiền mã hóa với giá trị khủng thứ hai trong tháng 10, sau sự kiện cầu nối của BNB Chain bị lấy đi 186 triệu USD vào tuần trước.
Cập nhật:
Cũng trong buổi sáng ngày 12/10, tài khoản được cho là của kẻ tấn công vào Mango Markets đã gửi một đề xuất lên diễn đàn dự án, tuyên bố sẵn sàng trả lại một phần tiền để đổi lại việc không bị điều tra và truy cứu hình sự. Đề xuất cụ thể là như sau:
Như vậy, theo đề xuất thì hacker chấp thuận hoàn trả toàn bộ lượng SOL, MSOL và MNGO đã lấy đi, tương đương số tiền khoảng 65,2 triệu USD, và giữ lại lượng 48,8 triệu USD các token khác.“Hoàn trả nợ xấu
Xin chào, quỹ riêng của Mango đang có khoảng 70 triệu USDC có thể được dùng để bù vào phần nợ xấu.
Tôi có đề nghị như sau. Nếu được thông qua, tôi sẽ trả MSOL, SOL và MNGO đến một địa chỉ do đội ngũ Mango chỉ định. Quỹ của Mango sẽ chi trả phần tiền thiếu hụt còn lại để tất cả người dùng đều được bồi thường. Phần tiền được tôi giữ sẽ được xem là phần thưởng phát hiện lỗi (bug bounty). Thông qua việc bỏ phiếu cho đề xuất này, người nắm giữ token Mango đồng ý trả bug bounty cho tôi và sử dụng quỹ của dự án để bù vào phần nợ xấu, đồng thời từ bỏ quyền khiếu nại các tài khoản còn nợ xấu, và sẽ không tiến hành điều tra hay đóng băng tiền một khi tôi đã hoàn trả lượng token nêu trên.”
Bài viết gốc:
Theo thông báo đăng tải trên Twitter, Mango Markets xác nhận là đã bị tấn công, theo đó kẻ gian đã rút đi một lượng lớn tiền từ dự án bằng cách thao túng giá. Mango tuyên bố đang liên hệ với các bên liên quan để truy dấu và ngăn chặn người này tẩu tán tiền. Dự án cũng đã yêu cầu người dùng ngừng sử dụng nền tảng cho đến khi vấn đề được giải quyết.
Đơn vị bảo mật Hacken đã trình bày cách thức Mango Markets bị lấy cắp tiền như sau:
– Kẻ tấn công đã nạp 5 triệu USDC vào Mango Markets và mở một vị thế long token MNGO với kích thước khoảng 19 triệu USD.
– Vị thế long này đã khiến giá token MNGO tăng đến 167% chỉ trong chưa đến một giờ đồng hồ, kéo theo đó là giá trị tài sản thế chấp trong tài khoản của hacker. Nguyên nhân điều này có thể xảy ra là bởi volume giao dịch của MNGO trên Mango là rất thấp, chỉ đạt gần 19 triệu USD trong 24 giờ qua – tức bằng với kích thước lệnh mà hacker đã mở.
– Kẻ tấn công sau đó dùng lượng tài sản thế chấp tăng vọt trên để vay hàng loạt các token khác và rút các token khác về, với tổng giá trị lên đến 114 triệu USD.
Danh sách các token bị rút đi gồm 52,8 triệu USDC; 50,5 triệu USD SOL; 5,4 triệu USD BTC; 3,2 triệu USDT; 1,7 triệu USD USDT và 14,7 triệu USD MNGO.
Có thể thấy phương thức tấn công trên là tương tự với cách mà kẻ tấn công GMX – một nền tảng giao dịch phái sinh trên Arbitrum – đã sử dụng để kiếm lời thông qua việc thao túng giá AVAX vào giữa tháng 9.
Giá token MNGO sau đó đã bị dump mạnh, giảm đến 53% so với mức trước khi cú pump “nhân tạo” của hacker diễn ra.
Mango Markets là vụ tấn công tiền mã hóa với giá trị khủng thứ hai trong tháng 10, sau sự kiện cầu nối của BNB Chain bị lấy đi 186 triệu USD vào tuần trước.