Ataque de $ 100 millones de Mango: cómo una ballena estafó a un favorito de Solana DeFi

En un movimiento algo audaz, el atacante usó sus tokens MNGO para votar sobre su propia propuesta de gobierno de Mango DAO.

Ballena Objetivos Mango

Días después de que el puente de BNB Chain fuera atacado por un exploit de $ 566 millones, Mango Markets sufrió un ataque de nueve cifras. El protocolo Solana DeFi fue atacado el jueves por la noche después de que un atacante de ballenas encontrara una forma de beneficiarse manipulando sus mercados. Mango es un centro comercial descentralizado construido sobre la cadena de bloques de Solana. Ofrece negociación de márgenes y futuros, lo que permite a los usuarios de Solana DeFi apostar por el rendimiento de los precios de activos como SOL, ETH y BTC. “Largo y corto todo”, el eslogan en su sitio web lee

De acuerdo a tormenta de tuits del miércoles del equipo de Mango, el perpetrador usó sus tenencias de USDC para sacar dos posiciones grandes en contratos de futuros perpetuos para el token MNGO. Esto provocó un aumento artificial de los precios, lo que permitió al atacante obtener una serie de grandes préstamos, drenando efectivamente la liquidez del protocolo. Drenaron más de $ 100 millones en una variedad de activos digitales, incluidos USDC, MSOL, SOL, BTC, USDT, MNGO y SRM.

Mientras que el equipo de Mango decía que la manipulación de precios de MNGO se exacerbó después de que los oráculos se actualizaron para mostrar un precio inflado para el token, los oráculos funcionaron según lo diseñado. Contrariamente a algunos informes, este no fue un ataque específico de Oracle, sino un ejemplo clásico de manipulación del mercado. La ballena pudo ejecutar el ataque porque tenía millones de dólares en garantía del USDC, y aprovecharon el escaso comercio en la plataforma de Mango. Dichos ataques pueden representar una amenaza para otros protocolos de préstamo como Mango con una actividad comercial igualmente baja.

La manipulación del mercado es ilegal en el mundo tradicional, pero los atacantes a menudo gravitan hacia DeFi, un mercado no regulado que a veces se denomina “el Salvaje Oeste de las finanzas”. Incluso cuando los reguladores han comenzado a monitorear el espacio más de cerca con un enfoque en las monedas estables y los robos de protocolos, pueden tardar años en investigar un caso y hay muchos incidentes que pasan por alto. Eso hace que DeFi sea un terreno fértil para payasadas de bombeo y descarga como las que lleva a cabo la ballena Mango.

Juegos DAO

No obstante, los movimientos de la ballena después del ataque sugieren que están al tanto de posibles procesos penales. Publicando en el foro de gobierno Mango DAO, el atacante presentó una propuesta eso los vería devolver la mayoría de los fondos drenados si el equipo de Mango acordara usar $ 70 millones en USDC de su tesorería para pagar la “deuda incobrable” del protocolo. Si se aprueba, la tesorería iría a los usuarios de Mango que habían depositado en el protocolo ahora agotado.

En su nota, también sugirieron que votar por la propuesta contaría como un acuerdo para abandonar cualquier plan de investigación criminal. Decía:

“Al votar por esta propuesta, los tenedores de tokens de mango aceptan pagar esta recompensa y liquidar la deuda incobrable con el tesoro, y renuncian a cualquier reclamo potencial contra cuentas con deudas incobrables, y no realizarán investigaciones penales ni congelarán fondos una vez que los tokens son devueltos como se describe arriba.”

La propuesta enfrenta al equipo de Mango con sus propios usuarios, y también intenta absolver al atacante de cualquier irregularidad ante los ojos de la ley. En realidad, sin embargo, es poco probable que una propuesta de gobernanza de DAO se apruebe con la aplicación de la ley; Si las autoridades decidieran que valía la pena investigar este ataque, probablemente no dudarían porque la comunidad de Mango acordó no presentar cargos.

Es más, es poco probable que la propuesta se tome demasiado en serio dado los resultados de la votación actual. El atacante usó 32,9 millones de tokens MNGO para aprobar su propia sugerencia, aproximadamente un tercio del poder de voto requerido para que se aprobara la propuesta. Está previsto que cierre temprano el sábado.

¿Que viene despues?

Si bien no está claro cómo se verá el futuro de Mango, el equipo dijo que congeló el protocolo el miércoles temprano para evitar que alguien haga nuevos depósitos. También dijo que prevenir más pérdidas, recuperar a los usuarios y reconstruir después del ataque eran “prioridades” para la DAO.

En ataques como este, los equipos a menudo ofrecen recompensas por errores a sus atacantes a cambio de la devolución segura de los fondos. Si bien Mango aún no ha hecho una oferta de recompensa al atacante, el director ejecutivo del proyecto, Daffy Durairaj, intervino en la propuesta de deuda incobrable. Ellos escribieron:

“Hola, soy Daffy, estamos trabajando para contar las pérdidas y limitar las pérdidas donde podamos. Todavía no puedo dar una propuesta concreta, pero estos son mis objetivos en orden de importancia: 1. Está libre de cualquier irregularidad 2. Obtiene una ganancia saludable 3. Todos los depositantes de Mango se recuperan 4. Mango DAO mantiene algo de tesorería para reconstruir ¿Qué te parece?” Durairaj no comentó si la DAO comprometería $ 70 millones de su tesorería, pero su publicación insinúa que espera que la DAO mantenga al menos algunas de sus reservas.

Durairaj también publicó un tweet temprano el miércoles, reiterando a los depositantes de Mango que haría “todo lo posible [his] poder” para recuperar sus fondos.

Tanto Durairaj como el atacante han sugerido planes que intentan hacer que los usuarios de Mango estén completos y limpiar el nombre del atacante, permitiéndoles obtener una buena ganancia en el proceso. Si bien Durairaj también ha expresado su esperanza de que el equipo se “reconstruya” después del incidente, queda por ver si Mango podrá sobrevivir a un golpe financiero y de reputación tan grande.

Divulgación: en el momento de escribir este artículo, el autor de este artículo poseía ETH y varias otras criptomonedas.