北京时间今天清晨,Solana生态去中心化交易平台Mango遭遇黑客攻击,损失高达1.15亿美元。
Mango官方随后发推文称正在采取措施应对,并希望黑客能主动联系商量还款事宜:“我们正在采取措施让第三方冻结流动资金。作为预防措施,我们将在前端禁用存款,并将随着情况的发展提供最新信息。”
Solana生态算法稳定币协议UXDProtocol表示,在Mango攻击事件中受影响资金总额近2000万美元,同时称其保险基金足以弥补损失。
与以往攻击事件的剧情走向不同,这次的黑客“戏瘾很足”,其在realms上发布了一项新的治理提案:希望Mango官方使用国库资金偿还用户坏账;如果官方同意,黑客将返还部分被盗资金,同时希望免受刑事调查或冻结资产。有加密爱好者评论称,Mango黑客算是将DeFi与DAO玩得明白。
安全公司:Sentiment黑客若在规定之间内归还盗取资金,将获9.6万美元报偿:金色财经报道,据CertiK援引链上消息披露,一小时前有人给Sentiment黑客发送链上信息,链上信息概述如果在4月6日上午8点前盗取资金,将获得9.5万美元的报偿。反之,如果没有归还,奖金将给那些提供黑客信息的人。
此前报道,DeFi借贷协议Sentiment今日凌晨在Arbitrum网络被盗约100万美元,官方目前正在调查从Sentiment协议中盗取资金的可起诉行为。Sentiment已经采取措施找出漏洞的根本原因,并减少进一步的协议滥用。此外,还表示其首要任务是是确保剩余资金的安全,追回损失的资金。[2023/4/5 13:45:54]
截至目前,该提案获得3290万投票赞成,其中3241万票由黑客自己所投,距离通过门槛还有一半的距离。
PeckShield:9小时前0xbd4E地址盗取价值约127万美元ARB:3月31日消息,PeckShield监测显示,9小时前,以0xbd4E开头的攻击者地址盗取93.3375枚ARB,并换成713枚ETH(约127万美元),后将其跨链至以太坊上。以0xB209开头的攻击者地址盗取10.5万枚ARB,并将其转入0xC4cf地址与0xB209地址。3月24日,0xbd4E地址与0x7afd地址盗取7250枚ARB,当时价值约1万美元。[2023/3/31 13:37:45]
@JoshuaLim以及@Mango官方的事故报告,我们将本次攻击过程进行还原,大致如下:
Ronin Network攻击者地址已几乎转出100%盗取资金:据欧科云链链上天眼监测显示,Ronin Network 攻击者地址于北京时间 5月 4日15:32:25再次转出12595.3枚 ETH (约3600万美元)至新地址0x08723392ed15743cc38513c4925f5e6be5c17243。截止5月4日,Ronin Network攻击者地址中盗取资金已基本全部被提出,仅剩约1.8枚ETH。
据OKLink ETH浏览器数据统计,此次史上最大Defi被盗案件,黑客攻击地址累计大额转出(转出金额超500ETH)共28次,转出约17.2万枚ETH。[2022/5/4 2:49:19]
黑客首先向Mango交易所A、B地址分别转入500万美元,两个地址分别是:
Opyn ETH看跌合约漏洞被外部参与者利用并盗取逾37.1万枚USDC:以太坊网络数据表明,一个或多个外部参与者执行对期权发行平台Opyn的利用,导致部分ETH丢失。观察者推测,那些利用Opyn合约的人能够同时收到ETH和USDC。
据悉,Opyn团队已从Uniswap撤回流动资金并正在调查情况。此后,Opyn团队发布Opyn ETH看跌期权漏洞的概述,揭示目前发现损失371260USDC,但是随着调查的进行,这一金额可能会发生变化。“为了确保现有oToken持有人的流动性,我们还提出并继续提出以比Deribit市场价格高出20%的价格购买所有在漏洞攻击时未偿还的ETH看跌期权oToken。”除了ETH看跌合约之外,所有其他Opyn合约都不会受到此漏洞的影响。(The Block)[2020/8/5]
A:CQvKSNnYtPTZfQRQ5jkHq8q2swJyRsdQLcFcj3EmKFfX;
B:4ND8FVPjUGGjx9VuGFuJefDWpg3THb58c277hbVRnjNa;
而后,黑客通过A地址在Mango上利用MNGO永续合约做空平台币MNGO,开仓价格0.0382美元,空单头寸4.83亿个;与此同时,黑客在B地址上做多MNGO,开仓价格0.0382美元,多单头寸4.83亿个。
FTX、Ascendex)上MNGO的现货价格,致使价格出现5-10倍的增长,该价格通过Pyth预言机传递到其中Mango交易所,进一步推动价格上涨,最终Mango平台上MNGO价格从0.0382美元拉升至最高0.91美元。
USDC、76.85万个MSOL、76.16万个SOL、281个BTC、326万个?USDT、235.4万个SRM以及3241万个MNGO,如下所示:
项目方向黑客妥协?
攻击发生后,黑客发布了一项新提案,表示希望官方利用国库资金偿还协议坏账。据了解,目前国库资金约为1.44亿美元,其中包括价值8850万美元的MNGO代币以及近6000万美元的USDC。
黑客表示,如果官方同意上述方案,将返还部分被盗资金,同时希望不会被进行刑事调查或冻结资金。“如果这个提案通过,我将把这个账户中的MSOL、SOL和MNGO发送到Mango团队公布的地址。Mango国库将用于覆盖协议中剩余的坏账,所有坏账的用户将得到完整补偿……一旦代币如上述所述被送回,将不会进行任何刑事调查或冻结资金。”
根据前文统计可以得知,黑客计划送回的资产金额大约是4943万美元,约为被盗资金的42%,这意味着近半数的被盗资产被黑客留下作为「赏金」,这一比例远高于以往攻击事件中官方所承诺的上限。
Mango官方表示,目前最好的解决方式是与攻击者进行沟通。“MangoDAO的优先事项是:防止任何进一步的不必要损失、确保Mango协议的存款人资金安全、尝试挽救MangoDAO的一些价值。Mango认为解决此问题的最具建设性的方法是继续与负责该事件并控制从协议中移除的资金的人沟通,以尝试友好地解决问题。”
法律专家、LegalDAO发起人MasterLi认为,无论从哪个国家法律的视角,也无论这次投票是否能通过,黑客的犯罪性质是毫无疑问的,其试图通过这种方式来逃避个人责任,这在任何国家法律下都是行不通的。
“另一个层面是DAO治理规则的层面。在缺少DAO实体的情况下,我认为DAO的治理规则可以被认为是DAO成员之间的某种合同或者契约。黑客通过盗取Token参与到合同关系中,行使提案的权利,法理上是绝对站不住脚的。换句话说,黑客提案和投票的权利本身就是有瑕疵的。这个意义上,「官方」如果以此为由否认这次提案也并不是毫无理由的,我也不认为这有悖DAO的宗旨。这就好比说我去参与民主选举,有人抢了我的选票帮我投票了,那这次投票毫无疑问是无效的。”
目前尚不清楚官方最终是否会同意该提案并进行实施。截至发稿前,黑客提案获得3290万投票赞成,其中3241万票由黑客自己所投,距离通过门槛6709万票还有不小的距离。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。