Hileli bir kripto tüccarı, sonunda platformdan 116 milyon doları aşan likiditeyi boşaltmak için Mango’nun aynı adı taşıyan merkezi olmayan borsadaki (DEX) MNGO tokenlerinin fiyatlarını manipüle etmek için milyonlarca dolar kullandı.
Borsa, kullanıcıların zincir üstü ticaret arayüzünü kullanarak düşük ücretlerle spot ve kalıcı vadeli işlemler yapmasına olanak tanır. CoinGecko verilerine göre, son 24 saat içinde borsada yaklaşık 30 milyon dolar değerinde kripto işlem gördü.
Hareket, borç verme uygulaması Solend ve Mango’yu içeren Solana DeFi ekosisteminde kötü bir borcu çevreleyen devam eden dramanın ortasında ortaya çıktı.
Bu sabah erken saatlerde bildirildiği üzere, Mango ve Solend, bu yılın başlarında, birden fazla borç verme platformuna yayılmış 207 milyon dolarlık borcu olan büyük bir Solana balinasını kurtarmak için fonları bir araya getirmek üzere bir araya geldi – Solana ekosistemindeki potansiyel kayıpları durdurması beklenen bir hareketle. balinanın pozisyonu tasfiye edilecek olsaydı.
İstismar nasıl gerçekleşti?
Solana merkezli Mango, diğer DEX’ler gibi, merkezi olmayan finans (DeFi) kullanıcıları arasındaki işlemleri eşleştirmek için akıllı sözleşmelere güveniyor. Bu, istismarın nasıl gerçekleştiğini anlamanın anahtarıdır: Akıllı sözleşmeler tamamen merkezi değildir ve merkezi bir tarafça denetlenmez; bu, hileli bir tüccarın herhangi bir protokoldeki boşluklardan yararlanmak için herhangi birinin müdahale etme riski olmadan yeterli parayı dağıtabileceği anlamına gelir. gerçekleşmeden önce saldırır.
Saldırıyı gerçekleştirmek için iki hesap kullanıldı. “A” hesabında tüccar başlangıçta 483 milyon MNGO satın almak için 5 milyon USD Coin (USDC) kullandı ve açığa satış yaptı veya varlığa karşı bahse girdi. Daha sonra “B” hesabında, tüccar aynı miktarda MNGO satın almak için 5 milyon USDC daha kullandı ve pozisyonunu etkili bir şekilde korumak için toplamda 10 milyon USDC kullandı, Mango’nun Genesis başkanı Joshua Lim’in belirttiğine göre Mango hakkındaki veriler.
Tüccar daha sonra spot MNGO jetonlarını satın almak için daha fazla fon kullandı ve fiyatını on dakikalık bir süre içinde sadece 2 sentten 91 sente çıkardı. Bu, spot MNGO’nun düşük likiditeye sahip az işlem gören bir token olması ve bu da haydut tüccarın fiyatları hızlı bir şekilde manipüle etmesine izin vermesi nedeniyle mümkün oldu.
Spot MNGO fiyatları arttıkça, tacirin “B” hesabı kısa sürede gerçekleşmemiş karlarda yaklaşık 420 milyon $ topladı. Saldırgan daha sonra Mango’da bulunan tüm tokenlardan 116 milyon doların üzerinde likidite aldı ve bu da protokolü etkili bir şekilde ortadan kaldırdı.
Spot MNGO fiyatları kısa süre sonra 2 sente geri dönerek tacirin “A” hesabında MNGO vadeli işlemleri satın almak için ilk kullandığı fiyatların altına düştü. Bu hesap, yazım sırasında 6 milyon doların üzerinde kâra sahip – ancak platformda tüccarı tıslayacak likidite kalmadı.
Sonuç olarak, haydut tüccar Mango’dan 116 milyon doların üzerinde para çekmek için 10 milyondan fazla USDC kullandı, saldırıyı gerçekleştirmek için minimum ücret ödedi ve her şeyi platformun nasıl tasarlandığına dair parametreler dahilinde yaptı. Mango saldırıya uğramadı, tam olarak amaçlandığı gibi çalıştı ve anlayışlı bir tüccar, kötü niyetli olsa da, jeton likiditesini çıkarmayı başardı.
Yukarıdaki manipülatif stratejinin iki merkezi borsada işe yaramayacağını belirtmek önemlidir, çünkü bir borsada yüksek teklifler veren bir tüccar, o borsada fiyatların otomatik olarak yükselmesi ve diğer borsaların kendi sistemlerindeki varlıkların fiyatını hemen yükseltmesi anlamına gelir. stratejinin herhangi bir kar elde etmesinin olası olmadığı anlamına gelir.
Bu arada, Mango geliştiricileri Çarşamba günü erken saatlerde açıktan yararlanmayı incelediklerini ve hata için kusurlu kehanet sağlayıcısı Pyth’i suçladıklarını söylediler. Kahinler, bir blok zincirinin dışından içine veri getiren üçüncü taraf araçlardır.
Mango’nun iddiası, Pyth’in destekçilerinin savunduğu bir iddiaydı. Pyth’i büyük ölçüde destekleyen bir kripto fonu olan Jump Crypto’nun başkanı Kanav Kariya bir tweet’te, “Saldırgan, ince işlem gören bir belirteç olan mango tokenini pompaladı ve çöpe attı” diye yazdı.
“Kahinler sadece fiyatı bildiriyor. Pyth/Switchboard, borsalardaki geçerli fiyatları doğru bir şekilde bildirdi,” diye ekledi Kariya. MNGO son 24 saatte %40 düştü.
