COI:盜取Mango上億資金后，黑客發起DAO提案試圖“免罪”

北京時間今天清晨，Solana??生態去中心化交易平臺Mango遭遇黑客攻擊，損失高達1.15億美元。

Mango官方隨后發推文稱正在采取措施應對，并希望黑客能主動聯系商量還款事宜：“我們正在采取措施讓第三方凍結流動資金。作為預防措施，我們將在前端禁用存款，并將隨著情況的發展提供最新信息。”

Solana生態算法穩定幣協議UXDProtocol表示，在Mango攻擊事件中受影響資金總額近2000萬美元，同時稱其保險基金足以彌補損失。

與以往攻擊事件的劇情走向不同，這次的黑客“戲癮很足”，其在realms上發布了一項新的治理提案：希望Mango官方使用國庫資金償還用戶壞賬；如果官方同意，黑客將返還部分被盜資金，同時希望免受刑事調查或凍結資產。有加密愛好者評論稱，Mango黑客算是將?DeFi?與?DAO??玩得明白。

Bitfinex Alpha：通脹減弱債務危機隱現，目前可能正處于早期牛市的風口浪尖:5月16日消息，根據Bitfinex Alpha的最新報告，美國通脹減弱，但正面臨越來越令人擔憂的債務上限危機，市場信心的任何減弱都可能導致更高的利率。此外，美國企業和家庭的信貸條件都在繼續收緊，再加上信貸需求的減少，可能會延長對整體信貸供應的限制。

在此情況下，比特幣價格一直在下滑，但在BRC-20相關活動的推動下，交易費用仍然很高。交易活動的增加和更高的交易費用對其他網絡活動指標施加了壓力。與比特幣網絡交互的活躍地址和新地址正在接近歷史低點，這表明更高的交易費用可能會勸阻其他比特幣網絡用戶。另一方面，比特幣費用比率倍數(FRM)，即礦工從新比特幣發行中獲得的收入與交易費用的收入之比，出現了急劇下降。這也有利于比特幣網絡的健康發展，提高了安全性，并表明礦工的收入來源從比特幣發行轉向交易費用。[2023/5/16 15:05:34]

截至目前，該提案獲得3290萬投票贊成，其中3241萬票由黑客自己所投，距離通過門檻還有一半的距離。

馬斯克宣布推特清理僵尸號，30天內未登陸就注銷:金色財經報道，推特CEO馬斯克表示，推特將清除多年來一直不活躍的社交用戶賬號，因此部分用戶可能會發現關注者減少。

?但馬斯克同時表示，被清除賬戶將被存檔。但目前尚不清楚推特用戶是否或如何能夠訪問存檔賬戶。據推特的政策，用戶必須至少每30天登錄一次賬號，以避免因長時間不活動而永久注銷。[2023/5/10 14:53:36]

操縱MNGO價格進行攻擊

結合加密研究員?@JoshuaLim?以及?@Mango?官方的事故報告，我們將本次攻擊過程進行還原，大致如下：

黑客首先向Mango?交易所?A、B地址分別轉入500萬美元，兩個地址分別是：

A：CQvKSNnYtPTZfQRQ5jkHq8q2swJyRsdQLcFcj3EmKFfX；B：4ND8FVPjUGGjx9VuGFuJefDWpg3THb58c277hbVRnjNa；而后，黑客通過A地址在Mango上利用MNGO永續合約做空平臺幣??MNGO，開倉價格0.0382美元，空單頭寸4.83億個；與此同時，黑客在B地址上做多MNGO，開倉價格0.0382美元，多單頭寸4.83億個。

Gitcoin已開啟Gitcoin Grants Beta Round捐贈:4月25日消息，Gitcoin 宣布開啟 Gitcoin Grants Beta Round 捐贈，本輪捐贈持續到 5 月 9 日。Gitcoin Grants Beta Round 中的 Core Round 中有 125 萬美元的匹配資金。本輪 Gitcoin Grants Beta Round 中的五個核心輪次包括 Climate Solutions、ZK Tech、OSS、Community & Ed 和以太坊基礎設施。[2023/4/25 14:25:58]

Immutable X與加密支付平臺MoonPay合作，支持用戶以法幣鑄造和購買NFT資產:據官方消息，以太坊NFT二層擴容方案Immutable X與加密支付平臺MoonPay合作，已支持用戶使用信用卡或借記卡以法定貨幣鑄造和購買NFT資產。當用戶使用借記卡或信用卡發起NFT鑄幣時，Moonpay將資金保存在卡上，NFT在用戶的錢包地址上鑄造成功后，資金將轉移到相應的合作伙伴錢包中。[2022/12/8 21:31:17]

在完成初步建倉后，黑客轉身攻擊多個平臺上MNGO的現貨價格，致使價格出現5-10倍的增長，該價格通過Pyth?預言機?傳遞到其中Mango交易所，進一步推動價格上漲，最終Mango平臺上MNGO價格從0.0382美元拉升至最高0.91美元。

法國官員警告歐盟Stablecoin監管上限或放寬或收緊:10月25日消息，一位法國官員周二警告說，歐盟計劃有爭議的Stablecoin上限可能會被取消，或者變得更嚴格，而一位歐盟議員表示，歐盟可能對加密行業過度監管。對以歐元以外的貨幣計價的Stablecoin的限制是歐盟加密資產市場法中最具爭議的內容之一。

歐盟最近商定的加密資產市場監管 (MiCA) 要求數字錢包公司等加密服務提供商注冊以獲得為歐盟服務的授權。它還對與歐盟貨幣以外的資產相關的加密資產的規模施加了嚴格的限制，業內一些人擔心這可能會限制市場。

盡管各國不希望私人虛擬貨幣與歐元等法定貨幣相媲美，但這并不意味著Stablecoin監管上限非常復雜，法國經濟部副助理部長Gabriel Cumenge在談到提議時表示，如果每天的交易超過100萬筆，可能會看到Stablecoin發行人被勒令停止歐盟內部的服務。[2022/10/25 16:38:22]

此時，黑客的多頭頭寸收益為4.83億個*=4.2億美元，黑客再利用賬戶凈資產從Mango進行借貸；好在平臺流動性不足，黑客最終只借出近1.15億美元資產，其中包括：5441萬?USDC?、76.85萬個MSOL、76.16萬個SOL、281個?BTC?、326萬個?USDT?、235.4萬個SRM以及3241萬個MNGO，如下所示：

事故發生后，Mango官方表示已在10月12日10:37凍結Mango程序指令，以防止任何用戶進一步與協議交互。

實際上，Mango此次遭遇攻擊本可以避免。早在今年3月，名為@Ozcal的Discord用戶就在社群中提醒，Mango對MNGO的頭寸沒有進行限制，可能導致黑客利用價格攻擊，套取平臺資產。但彼時，沒人在意這一bug。

“也許根據現貨流動性對衍生品頭寸進行限制，可以規避利用現貨價格攻擊衍生品交易。”JoshuaLim給出建議。

項目方向黑客妥協？

攻擊發生后，黑客發布了一項新提案，表示希望官方利用國庫資金償還協議壞賬。據了解，目前國庫資金約為1.44億美元，其中包括價值8850萬美元的MNGO代幣以及近6000萬美元的USDC。

黑客表示，如果官方同意上述方案，將返還部分被盜資金，同時希望不會被進行刑事調查或凍結資金。“如果這個提案通過，我將把這個賬戶中的MSOL、SOL和MNGO發送到Mango團隊公布的地址。Mango國庫將用于覆蓋協議中剩余的壞賬，所有壞賬的用戶將得到完整補償……一旦代幣如上述所述被送回，將不會進行任何刑事調查或凍結資金。”

根據前文統計可以得知，黑客計劃送回的資產金額大約是4943萬美元，約為被盜資金的42%，這意味著近半數的被盜資產被黑客留下作為「賞金」，這一比例遠高于以往攻擊事件中官方所承諾的上限。

Mango官方表示，目前最好的解決方式是與攻擊者進行溝通。“MangoDAO的優先事項是：防止任何進一步的不必要損失、確保Mango協議的存款人資金安全、嘗試挽救MangoDAO的一些價值。Mango認為解決此問題的最具建設性的方法是繼續與負責該事件并控制從協議中移除的資金的人溝通，以嘗試友好地解決問題。”

法律專家、LegalDAO發起人MasterLi認為，無論從哪個國家法律的視角，也無論這次投票是否能通過，黑客的犯罪性質是毫無疑問的，其試圖通過這種方式來逃避個人責任，這在任何國家法律下都是行不通的。

“另一個層面是DAO治理規則的層面。在缺少DAO實體的情況下，我認為DAO的治理規則可以被認為是DAO成員之間的某種合同或者契約。黑客通過盜取Token參與到合同關系中，行使提案的權利，法理上是絕對站不住腳的。換句話說，黑客提案和投票的權利本身就是有瑕疵的。這個意義上，「官方」如果以此為由否認這次提案也并不是毫無理由的，我也不認為這有悖DAO的宗旨。這就好比說我去參與民主選舉，有人搶了我的選票幫我投票了，那這次投票毫無疑問是無效的。”

目前尚不清楚官方最終是否會同意該提案并進行實施。截至發稿前，黑客提案獲得3290萬投票贊成，其中3241萬票由黑客自己所投，距離通過門檻6709萬票還有不小的距離。

Tags：MANGOMANCOINCOIMango MarketsMANGAkpaycoinCareCoin

中幣交易所