Hacker extrae USD 117 millones de la plataforma DeFi de Solana

Mango Markets, una plataforma de negociación con sede en Solana, sufrió un hackeo de DeFi de USD 117 millones el viernes debido a una explotación de manipulación de precios.

La firma de seguridad de blockchain, Certik, ha desglosado cómo se ejecutó el hackeo.

• Según un informe proporcionado por la empresa, el atacante manipuló el precio de MNGO, el token nativo y el activo colateral de la plataforma.
• Primero, el atacante fundado una de sus cuentas con unos 5 millones de USDC. Esos fondos lo ayudaron a vender 488,302,109 MNGO en swaps perpetuos en los mercados de Mango, por un valor de más de $18 millones.
• Luego, el atacante compró esos swaps usando una segunda cuenta, lo que indujo una volatilidad masiva de precios para MNGO. La moneda subió de solo $ 0,038 antes del ataque a $ 0,91 después.
• La apreciación del precio posterior a la negociación permitió que la segunda cuenta usara sus ganancias como garantía para tomar prestados otros tokens en grandes volúmenes. Esto incluyó 54 426 559 USDC, 768 635 mSOL, 281 BTC, 3 267 402 USDT, 2 355 667 SRM y 32 420 404 MNGO.
• “Esto representa toda la liquidez que estaba disponible en Mango Markets en ese momento, dejando la plataforma insolvente”, se lee en el escrito.
• El escrito señaló que se suponía que la plataforma liquidaría la posición corta de la primera cuenta después del evento de manipulación de precios. Sin embargo, «no estaba funcionando como se esperaba en ese momento».
• En última instancia, el exploit fue posible debido a la baja liquidez del mercado MNGO/USDC.
• El canal de discordia de Mango Markets aparentemente había sido notificado de la vulnerabilidad potencial con meses de antelación.
• En Twitter, Mango Markets dijo que tomaría medidas para congelar los fondos que se escapaban y deshabilitó los depósitos en su plataforma.
• También pidió al atacante que se pusiera en contacto para discutir una «recompensa de errores», una oferta para quedarse con algunos de los fondos robados a cambio de la mayoría de ellos. Las recompensas de errores se han utilizado en otros importantes trucos criptográficos para intentar hacer que los usuarios estén completos.
• El atacante parece haber respondido ya, proponiendo devolver sus tenencias de MSOL, SOL y MNGO. A cambio, pidió que los tenedores de MNGO acuerden pagar su deuda incobrable utilizando los fondos de su tesorería y renunciar a cualquier posible investigación criminal en su contra.
• los votar en su oferta permanecerá abierta hasta el viernes, pero hasta ahora ha recibido un apoyo abrumador de «Sí».
• El hack está dentro de los 15 principales exploits de DeFi de todos los tiempos.