鈔能力攻擊 黑客如何用一千萬“撬動”Solana 生態上億資金？_DAO:MangoMan Intelligent

北京時間今天清晨，成都鏈安鷹眼-Web3安全預警與監控平臺監測顯示，Solana生態去中心化交易平臺Mango遭遇黑客攻擊，影響高達1.16億美元。

根據Odaily星球日報的報道，Mango官方隨后發推文稱正在采取措施應對，并希望黑客能主動聯系商量還款事宜：“我們正在采取措施讓第三方凍結流動資金。作為預防措施，我們將在前端禁用存款，并將隨著情況的發展提供最新信息。”

與以往攻擊事件的劇情走向不同，這次的黑客“戲癮很足”，其在realms上發布了一項新的治理提案：希望Mango官方使用項目國庫資金償還用戶壞賬；如果官方同意，黑客將返還部分被盜資金，同時希望免受刑事調查或凍結資產。有加密愛好者評論稱，Mango黑客算是將DeFi與DAO玩得明白。

MakerDAO創始人于社區闡述Spark Protocol預挖空投計劃及SubDAO挖礦經濟模型:8月10日消息，MakerDAO創始人Rune Christensen發起關于SparkDAO SPK的預挖空投；SubDAO農場概述的社區提案，提案概述借貸協議Spark Protocol潛在的SPK預挖空投計劃，并將審查第二階段將啟動的一般SubDAO挖礦經濟模型。

其中該提案建議回溯計算哪些用戶從 Spark Protocol 借款，并從 EDSR 將借款利率提高到 5% 之刻開始計算，其中按照他們所抵押的波動性資產的金額及時間長短比例進行代幣分配，用戶無需采取任何特殊行動即可有資格參與空投；SubDAO 10 年總共會分發 20 億枚 SubDAO 代幣給每個 SubDAO 參與者，在前兩年中，創世農場的速度是每年 5 億枚 SubDAO 代幣，其中每年有 3.5 億枚 SubDAO 代幣用于 NewStable 農民，1.5 億枚 SubDAO 代幣用于 NewGovToken 農民，接下來兩年（第三至第四年），創世農場的速度為每年 2.5 億枚 SubDAO 代幣，其中每年有 1.75 億枚 SubDAO 代幣用于 NewStable 農民，7500 萬枚 SubDAO 代幣用于 NewGovToken 農民。[2023/8/10 16:17:23]

截至目前，該提案獲得3290萬投票贊成，其中3241萬票由黑客自己所投，距離通過門檻還有一半的距離。

基于Lens Protocol的Web3社交平臺Buttrfly已上線App Store:6月16日消息，據官方消息，基于Lens Protocol的Web3社交平臺Buttrfly已上線App Store。用戶可通過該平臺體驗多媒體Web3社交，并通過Web3加密信息網絡XMTP進行互動。[2023/6/16 21:41:31]

針對本次事件，成都鏈安安全團隊進行了分析。

1?“價格操縱”攻擊手法講解

黑客使用了兩個賬戶，一共1000萬USDT起始資金。

第一步，攻擊者向Mango市場存入了5MUSDC。

幣安：正進行熱錢包資金整合，或導致Gas費上升與大量流入幣安的交易:金色財經報道，幣安發推稱正在將資金從存款地址整合到熱錢包，以為下一階段的POR（Proof of reserve）審計做準備。在此期間，用戶可能會看到以太坊網絡的Gas費暫時上升，并且有大量流入幣安熱錢包的交易。[2022/12/10 21:35:43]

第二步，攻擊者在MNGO-ERP市場創建了一個483M的PlacePerpOrder2頭寸。

V神：質押者0.05的最低出價意味著自己生產了近一半的區塊:金色財經報道，以太坊聯合創始人Vitalik Buterin在社交媒體表示，一些圖表對使用mev-boost的質押者的不同最低出價進行了估算。0.05的最低出價意味著你自己生產了近一半的區塊（非常強的審查阻力），但只犧牲了一點點利潤。[2022/11/25 8:06:16]

第三步，MNGO的價格被操縱，從0.0382美元到0.91美元，通過使用一個單獨的賬戶對其頭寸進行對手交易。

Account2

賬戶2現在有483*(0.91-0.03298美元)=4.23億美元，這使得攻擊者可以借出1.16億美元的資金。

2??項目方向黑客妥協？

該黑客在Mango治理上提出了一個提案，試圖通過談判獲得賞金。該提案要求Mango?Treasury支付7000萬以償還壞賬。黑客將放棄一半的收益以避免法律起訴。?

據了解，目前項目國庫資金約為1.44億美元，其中包括價值8850萬美元的MNGO代幣以及近6000萬美元的USDC。

黑客表示，如果官方同意上述方案，將返還部分被盜資金，同時希望不會被進行刑事調查或凍結資金。“如果這個提案通過，我將把這個賬戶中的MSOL、SOL和MNGO發送到Mango團隊公布的地址。Mango項目國庫將用于覆蓋協議中剩余的壞賬，所有壞賬的用戶將得到完整補償……一旦代幣如上述所述被送回，將不會進行任何刑事調查或凍結資金。”

根據前文統計可以得知，黑客計劃送回的資產金額大約是4943萬美元，約為被盜資金的42%，這意味著近半數的被盜資產被黑客留下作為「賞金」，這一比例遠高于以往攻擊事件中官方所承諾的上限。

Mango官方表示，目前最好的解決方式是與攻擊者進行溝通。“MangoDAO的優先事項是：防止任何進一步的不必要損失、確保Mango協議的存款人資金安全、嘗試挽救MangoDAO的一些價值。Mango認為解決此問題的最具建設性的方法是繼續與負責該事件并控制從協議中移除的資金的人溝通，以嘗試友好地解決問題。”

目前尚不清楚官方最終是否會同意該提案并進行實施。截至發稿前，黑客提案獲得3290萬投票贊成，其中3241萬票由黑客自己所投，距離通過門檻6709萬票還有不小的距離。

Tags：DAOMANMANGOSUBTsuki DAOSANDMAN價格MangoMan IntelligentSUB價格

PEPE