Una DeFi de Solana perdió más de USD $100 millones en ataque de manipulación de precio. Luego el hacker hizo una propuesta osada de gobernanza.
***
- Mango, DeFi de Solana, pierde más de USD $100 millones
- Hacker manipuló los precios y luego drenó los fondos
- Luego hizo una inusual propuesta de gobernanza
- Usó los tokens robados para votar por su propia propuesta
Unos días después de que el puente de la red BNB Smart Chain (BSC) sufriera un ataque masivo de más de USD $500 millones, otra plataforma de finanzas descentralizadas (DeFi) se enfrenta a problemas similares.
Mango Markets (MNGO), un protocolo DeFi basado en la cadena de bloques Solana, se convirtió esta semana en la última victima de un hackeo DeFi después de que un actor malicioso logró manipular los precios del token nativo de la plataforma y extrajo más de USD $100 millones. La maniobra de precio estuvo seguida por una inusual y muy osada propuesta de gobernanza.
Según los informes, el pirata informático habría utilizado sus fondos en la moneda estable USDC para abrir dos posiciones inusualmente grandes en contratos de futuros perpetuos para el token MNGO. Esto luego provocó un aumento artificial de los precios, permitiendo al atacante drenar la liquidez del protocolo.
Cabe destacar que Mango es una plataforma de comercio y préstamos con criptomonedas. Como señala CryptoBriefing, la plataforma frece negociación de márgenes y futuros, lo que permite a los usuarios de DeFi en Solana apostar por el rendimiento de los precios de activos como SOL, ETH y BTC. “Todo en largo y en corto”, dice el sitio web de Mango.
Manipulación de precios y robo de USD $110 millones
El incidente se produjo el martes cuando un hacker depositó USD$ 5 millones en USDC en Mango y luego abrió una posición larga muy grande, explicó la firma de seguridad, Hacken, en un hilo de tweets. La maniobra provocó que le precio de MNGO se disparara un 1.000% en cuestión de unos minutos, lo que al mismo tiempo elevó el valor de la garantía del atacante.
Luego, el pirata informático habría usado ese valor colateral inflado en su cuenta para pedir prestada una gran posición de deuda en múltiples monedas en el protocolo. La manipulación y los precios elevados permitieron al actor malicioso pedir prestado y robar cerca de USD $110 millones en varios tokens, agregó el informe que fue recogido por The Block.
El equipo de Mango confirmó en Twitter el ataque, detallando que ocurrió exactamente a las 22:00 UTC del 11 de octubre. Los fondos robaron estuvieron compuestos por varias criptomonedas, incluidas USDC, MSOL, SOL, BTC, USDT, MNGO y SRM, dijo el equipo, que agregó que el atacante logró drenar toda la liquidez disponible en la plataforma.
A partir de ahora, cualquier usuario [de Mango] con depósitos en el protocolo no puede retirar activos; Este incidente ha resultado efectivamente en un drenaje total de todo el capital disponible.
Mango indicó que está deshabilitando los depósitos en el front-end para evitar que los usuarios usen su plataforma.
🥭 DAO priorities are:
➡️ Preventing any further unnecessary losses (already achieved by halting program instructions)
➡️ To make sure depositors of the Mango protocol are made whole
➡️ To try and salvage some value in Mango DAO and protocol to rebuild from here
— Mango (@mangomarkets) October 12, 2022
También detalló que, contrario a lo que algunos observadores especularon, el exploit no se debió a una falla en los oráculos. En un tweet dijeron que si bien la manipulación de precios de MNGO se exacerbó después de que los oráculos se actualizaron para mostrar un precio inflado para el token, los oráculos funcionaron según lo diseñado.
Hacker hace osada propuesta de gobernanza
Poco después del evento, el explotador misterioso llevó a cabo un inusual movimiento que le permitiría quedarse con parte del dinero y eludir posibles consecuencias legales. El atacante dio a conocer una propuesta en el foro de gobierno de Mango DAO, proponiendo a la tesorería de Mango usar sus USD $ 70 millones disponibles en USDC para pagar la “deuda incobrable” del protocolo.
Según explica CoinDesk, dicha deuda hace referencia a un rescate que Mango y la plataforma de préstamos rival, Solend, organizaron para una gran ballena Solana que tenía una deuda de USD$ 207 millones repartida en múltiples protocolos. El rescate se realizó para proteger al ecosistema más amplio de Solana de riesgo sistémico.
El hacker se comprometió a devolver la mayor parte de los fondos robados, valorados en aproximadamente USD $50 millones, si se aprueba la propuesta. Además, a modo de ultimátum, sugirió que la aprobación de la propuesta contaría como un acuerdo para abandonar cualquier plan de investigación criminal en su contra o congelar sus fondos. En la publicación escribió:
Al votar por esta propuesta, los tenedores de tokens de mango aceptan pagar esta recompensa y liquidar la deuda incobrable con el tesoro, y renuncian a cualquier reclamo potencial contra cuentas con deudas incobrables, y no realizarán investigaciones penales ni congelarán fondos una vez que los tokens son devueltos como se describe arriba.
En un movimiento osado, el pirata informático luego utilizó sus tokens MNGO robados, que representan el 0,66% del suministro total o aproximadamente un tercio del poder de voto requerido para que se aprobara la propuesta, según The Block, para votar sí. La votación para la propuesta de gobernanza está actualmente en vivo y finaliza el 14 de octubre.
¿Qué sigue?
Las recompensas para hackers dispuestos a cooperar no son poco frecuentes en el espacio DeFi, aunque en este caso sin duda es inusual, ya que la propuesta enfrenta al equipo de Mango con sus propios usuarios, como apunta CriptoBriefing, y deja en manos del hacker decisiones importantes, así como una bonificación muy generosa.
Mango aún no ha señalado si perseguirá la sugerencia y tampoco le ha hecho una oferta oficial de recompensa al atacante. Aunque el director ejecutivo del proyecto, Daffy Durairaj, ya se ha expresado sobre la propuesta. “Todavía no puedo dar una propuesta concreta, pero estos son mis objetivos en orden de importancia“, dijo y luego detalló:
1. Está libre de cualquier irregularidad 2. Obtiene una ganancia saludable 3. Todos los depositantes de Mango se recuperan 4. Mango DAO mantiene algo de tesorería para reconstruir ¿Qué te parece?
Durairaj también expresó en un tweet su compromiso para hacer “todo lo que esté a su alcance” para recuperar los fondos y continuar el proyecto. El equipo ya había indicado que estaba buscando contactar con el o los atacantes, ya que consideraba que era la forma “más constructiva de abordar” el asunto.
Mientras tanto, las operaciones en el protocolo están suspendidas y el precio de MNGO se ha desplomado notablemente desde el incidente, retrocediendo más de 30% en las últimas 24 horas, según datos de CoinGecko.
Lecturas recomendadas
- BNB Smart Chain realizará una bifurcación dura en respuesta al hackeo reciente
- OpenSea pagó USD $200.000 a dos hackers éticos por alertar sobre vulnerabilidades críticas
- Una stablecoin de Solana se desvinculó tras hackeo de USD $3,5 millones a protocolo Nirvana
Artículo de Hannah Estefanía Pérez / DiarioBitcoin
Imagen de Unsplash
ADVERTENCIA: Este es un artículo de carácter informativo. DiarioBitcoin es un medio de comunicación, no promociona, respalda ni recomienda ninguna inversión en particular. Vale señalar que las inversiones en criptoactivos no están reguladas en algunos países. Pueden no ser apropiadas para inversores minoristas, pues se podría perder el monto total invertido. Consulte las leyes de su país antes de invertir.