Comment la manipulation du marché a conduit à un exploit de 100 millions de dollars sur Solana DeFi Exchange Mango

Un Crypto trader malhonnête a utilisé des millions de dollars pour manipuler les prix des jetons MNGO de Mango sur l'échange décentralisé du même nom (DEX) pour finalement drainer plus de 116 millions de dollars de liquiditésdepuis la plateforme.

La plateforme permet aux utilisateurs de négocier des contrats à terme au comptant et perpétuels grâce à son interface de trading en chaîne, moyennant des frais réduits. Environ 30 millions de dollars de Crypto ont été échangés sur la plateforme au cours des dernières 24 heures. selon les données CoinGecko.

Cette décision fait suite au drame en cours entourant une créance irrécouvrable au sein de l'écosystème Solana DeFi impliquant l'application de prêt Solend et Mango.

Comme signalé plus tôtce matin, Mango et Solend se sont associés plus tôt cette année pourréunir des fonds pour sauver une grande baleine de Solana qui avait 207 millions de dollars de dettes réparties sur plusieurs plateformes de prêt – dans une démarche qui était censée garantir les pertes potentielles dans l'écosystème Solana si la position de la baleine devait être liquidée.

Comment l'exploit a eu lieu

Mango, basé sur Solana, comme d'autres DEX, s'appuie sur des contrats intelligents pour synchroniser les transactions entre les utilisateurs de la Finance décentralisée (DeFi). Ceci est essentiel pour comprendre comment l'exploit a eu lieu : les contrats intelligents sont entièrement décentralisés et ne sont pas supervisés par une entité centralisée, ce qui signifie qu'un trader malhonnête peut déployer suffisamment d'argent pour exploiter les failles de n'importe quel protocole sans risquer que quiconque intervienne pour stopper l'attaque.

Deux comptes ont été utilisés pour mener l'attaque. Sur le compte « A », le traderinitialement utilisé une USD Coin (USDC) pour acheter 483 millions de MNGO et se positionner à découvert, c'est-à-dire parier contre, sur l'actif. Ensuite, sur le compte « B », le trader a utilisé 5 millions USDC supplémentaires pour acheter la même quantité de MNGO, utilisant 10 millions USDC au total pour couvrir efficacement sa position, selon les données sur Mango présentées par Joshua Lim, responsable des produits dérivés chez Genesis. spectacles.

Le trader a ensuite utilisé davantage de fonds pour acheter des jetons MNGO au comptant, faisant grimper leur prix de seulement 2 cents à 91 cents en dix minutes. Cela a été rendu possible par le fait que le MNGO au comptant était un jeton peu négocié et peu liquide, ce qui a permis au trader malhonnête de manipuler rapidement les prix.

Avec la hausse des prix spot du MNGO, le compte « B » du trader a rapidement accumulé quelque 420 millions de dollars de profits latents. L'attaquant a ensuite retiré plus de 116 millions de dollars de liquidités de tous les jetons disponibles sur Mango, ce qui a entraîné la disparition du protocole.

Les prix spot du MNGO ont rapidement corrigé à 2 cents, tombant sous les prix initialement utilisés par le trader pour acheter des contrats à terme sur MNGO sur le compte « A ». Ce compte affichait un bénéfice de plus de 6 millions de dollars au moment de la rédaction de cet article, mais la plateforme ne disposait plus des liquidités nécessaires pour payer le trader.

Au total, le trader malhonnête a utilisé plus de 10 millions de USDC pour soutirer plus de 116 millions de dollars à Mango, payant des frais minimes pour mener l'attaque et respectant scrupuleusement les paramètres de conception de la plateforme. Mango n'a T été piraté, a fonctionné exactement comme prévu, et un trader avisé, malgré ses intentions malveillantes, a réussi à s'emparer de la liquidité du token.

Il est important de noter que la stratégie de manipulation ci-dessus ne fonctionnera T sur deux bourses centralisées, car un trader plaçant des offres élevées sur un lieu signifierait que les prix augmenteraient automatiquement sur cette bourse et que d'autres bourses augmenteraient immédiatement le prix des actifs sur leurs propres systèmes - ce qui signifie que la stratégie est peu susceptible de générer des bénéfices.

Parallèlement, les développeurs de Mango ont annoncé mercredi que les oracles de tarification Switchboard et PYTH avaient mis à jour le prix de référence de MNGO à plus de 0,15 $, conformément à la hausse des prix sur FTX et Ascendex. Les oracles sont des outils tiers qui extraient des données de l'extérieur d'une blockchain vers son intérieur.

« Aucun des fournisseurs d'oracles n'a commis de faute ici. Le reporting des prix d'oracle a fonctionné comme prévu », a déclaré Mango.a écritsur Twitter.

« L'attaquant a pompé et jeté le jeton mangue, qui est un jeton peu négocié », a écrit Kanav Kariya, président de Jump Crypto, un fonds Crypto qui a fortement soutenu PYTH. dans un tweet.

« Les oracles ne font que rapporter le prix. PYTH/Switchboard a rapporté avec précision les prix en vigueur sur les plateformes d'échange », a ajouté Kariya. Le cours de MNGO a chuté de 40 % au cours des dernières 24 heures.

CORRECTION (12 oct. 2022 14:14 UTC) :Modification du paragraphe sur les oracles de tarification. Ajout d'un tweet de Mango indiquant que les oracles de tarification ont fonctionné comme prévu.