certik:CertiK首發：Mango market遭受攻擊 損失1.16億美元

北京時間2022年10月11日6:19，CertiKSkynet天網監測到Mangomarket遭到黑客攻擊，截至目前已損失1.16億美元。攻擊者操縱MNGO代幣的價格，并惡意借貸超出應有數額的資產。

攻擊步驟

①在此交易中，攻擊者向第一個帳戶提供了500萬枚USDC。

CertiK：Orbiter Finance推特賬號被入侵并發布網絡釣魚鏈接:金色財經報道，據CertiK監測，Layer 2橋接項目Orbiter Finance的推特賬號已被入侵并發布了一個網絡釣魚網址，請勿點擊鏈接。此外，Orbiter Finance的推特賬號還發布了一個文檔鏈接，請勿點擊、互動或下載。[2023/6/24 21:57:40]

②攻擊者在訂單簿中提供了4.83億單位的MNGOperps。

CertiK：NFT紙牌游戲Z-ERA出現漏洞損失28.5萬美元:金色財經報道，區塊鏈安全公司CertiK報告稱，基于NFT的紙牌游戲Z-ERA出現漏洞損失285,000美元。CertiK發現了一個涉及由外部帳戶部署的未經驗證的合約的漏洞。攻擊者獲得了180萬個ZERA代幣并出售，導致ZERA代幣價格暴跌99%。

此外，1178.5枚BNB被轉移到Tornado Cash。被盜代幣約占總供應量的27%。盡管事件發生在游戲發布后不久，但Z-ERA對這次襲擊事件保持沉默。[2023/6/22 21:53:26]

Dai 供應接近歷史新高，6 月以來 Balancer Labs 流動資金已增長 5.3 倍:DTC Capital 投資者 Spencer Noon 發文闡述了 5 個跡象表明 DeFi 采用正在迅速發展。1）首先在 BTC 美元借貸利率上，DeFi 超過了 CeFi。CeFi 用戶已經開始使用 DeFi 協議（例如 MakerDAO）進行再融資。2）目前去中心化穩定幣 Dai 的供應接近歷史新高 1.23 億；3） TokenSets 在 5 月再平衡達到歷史新高，有價值約 4,700 萬美元的加密貨幣在鏈上完成交易；4）盡管自 4 月以來 Synthetix 解鎖了 1600 萬美元的 SNX 的通脹獎勵，總鎖定價值（TVL）仍持續上升，強烈表明該代幣模型是可行的；5）自 6 月 1 日起，Balancer Labs 流動資金從 600 萬美元增至 3200 萬美元，增長了 5.3 倍。5 個池的流動資金超過了 100 萬美元，有 30 個池至少持有 10 萬美元。該協議中有 2 個資金池進入自動作市平臺資金池的前 5 名。[2020/6/13]

③之后攻擊者向第二個賬戶注資。

④然后以每單位0.0382美元的價格做多了4.83億單位的MNGOperps。

⑤?攻擊者通過操縱價格預言機上MNGO的價格，將其拉高到0.91美元，從而在第二個賬戶上獲利。

⑥由于MNGO/美元的價格為每單位0.91美元，第二個賬戶能夠在Mangomarket上借用其他代幣。攻擊者還用第二個賬戶中的資金在Mangomarket上借入其他代幣。?

⑦上述借款行為使第一個帳戶的壞賬總額為11,306,771.61美元，造成了115,182,674.43美元的資產損失。

除此之外，攻擊者已提交將代幣發回的建議：

https://dao.mango.markets/dao/MNGO/proposal/3WZ5DpZXDvNAK4JwPS1HDPzSinEJUGpBC4XXx9vPtnVS

漏洞分析

攻擊者操縱了價格預言機中Mango代幣的價格。

例如其中一個價格預言機Switchboard使用的是FTX和Raydium提供的價格。Raydium(https://solscan.io/account/34tFULR...)的流動性極低，易于操作。

寫在最后

攻擊發生后，CertiK的推特預警賬號以及官方預警系統已于第一時間發布了消息。同時，CertiK也會在未來持續于官方公眾號發布與項目預警相關的信息。

Tags：CERcertikCERTTIKCoinracercertik幣價0xcertTIKKY幣

酷幣