NFT:钞能力攻击 黑客如何用一千万“撬动”Solana 生态上亿资金?

北京时间今天清晨,成都链安鹰眼-Web3安全预警与监控平台监测显示,Solana生态去中心化交易平台Mango遭遇黑客攻击,影响高达1.16亿美元。

根据Odaily星球日报的报道,Mango官方随后发推文称正在采取措施应对,并希望黑客能主动联系商量还款事宜:“我们正在采取措施让第三方冻结流动资金。作为预防措施,我们将在前端禁用存款,并将随着情况的发展提供最新信息。”

与以往攻击事件的剧情走向不同,这次的黑客“戏瘾很足”,其在realms上发布了一项新的治理提案:希望Mango官方使用项目国库资金偿还用户坏账;如果官方同意,黑客将返还部分被盗资金,同时希望免受刑事调查或冻结资产。有加密爱好者评论称,Mango黑客算是将DeFi与DAO玩得明白。

Celo关于迁移到以太坊L2架构的治理提案开启社区投票:7月25日消息,Celo关于将Celo迁移到以太坊L2架构的治理提案已开启社区投票(Temperature Check)。该治理提案是对社区的投票,支持Celo通过从独立的EVM兼容Layer1区块链过渡到以太坊Laye2,不是对如何实现Layer2目标的架构或设计的投票。

7月中旬,Celo开发团队cLabs发起新提案,提议Celo从独立的EVM兼容Layer1区块链迁移到以太坊Layer2,即利用OP Stack成为以太坊L2的架构,这将是一次技术升级,关键特点包括:由Celo现有验证器们驱动的去中心化排序器,采用拜占庭容错共识机制;由EigenLayer和EigenDA提供支持的链下数据可用性层,由以太坊节点运营商操作,并通过重新抵押ETH进行保护,使得Celo能够保持低费用;保留Celo只需1个区块确认的设计。[2023/7/25 15:58:09]

截至目前,该提案获得3290万投票赞成,其中3241万票由黑客自己所投,距离通过门槛还有一半的距离。

因涉嫌提交ChatGPT生成的漏洞报告,智能合约漏洞赏金平台Immunefi封禁15名用户:1月18日消息,智能合约漏洞赏金平台 Immunefi 对 15 名用户实施封禁,这些用户涉嫌向平台提交由人工智能工具 ChatGPT 生成的漏洞报告。 Immunefi 在社交媒体发文称,白帽黑客应该使用自己的语言而不是人工智能语言工具来描述问题,也不能通过这种手段加快软件 Bug 的处理解决速度。[2023/1/18 11:18:48]

针对本次事件,成都链安安全团队进行了分析。

1?“价格操纵”攻击手法讲解

黑客使用了两个账户,一共1000万USDT起始资金。

摩根士丹利:劳动力市场可能会接替CPI成为FOMC的关键指标:金色财经报道,摩根士丹利分析师表示,从现在开始,劳动力市场可能会成为 FOMC 的关键指标而不是 CPI。随着通胀下降趋势变得根深蒂固,FOMC 可以直接将目光投向劳动力市场。在我们的预测中,未来几个月就业增长将放缓,首先将为2月份的议息会议进一步放缓加息步伐至25个基点奠定基础。随着就业增长人数趋向于走低至10万大关,我们预计3月 FOMC 会议上不会进一步加息,联邦基金利率将在4.625%见顶。(金十)[2022/12/14 21:44:01]

第一步,攻击者向Mango市场存入了5MUSDC。

数字银行Atom Bank完成3000万英镑融资:金色财经报道,BBVA、Toscafund和Infinity Investment Partners已同意向Atom Bank投资3000万英镑,因为这家英国数字银行已准备好在2024年进行首次IPO。Atom Bank此前在 2 月份筹集了 7500 万英镑,使他们今年的融资总额达到 1.05 亿英镑。新资金将用于推动进一步放贷。据英国《金融时报》援引消息人士称,这家数字贷款机构现在计划在上市前于明年上半年进行最后一次私募融资,筹资约 5000 万英镑。[2022/11/28 21:06:06]

第二步,攻击者在MNGO-ERP市场创建了一个483M的PlacePerpOrder2头寸。

第三步,MNGO的价格被操纵,从0.0382美元到0.91美元,通过使用一个单独的账户对其头寸进行对手交易。

Account2

账户2现在有483*(0.91-0.03298美元)=4.23亿美元,这使得攻击者可以借出1.16亿美元的资金。

2??项目方向黑客妥协?

该黑客在Mango治理上提出了一个提案,试图通过谈判获得赏金。该提案要求Mango?Treasury支付7000万以偿还坏账。黑客将放弃一半的收益以避免法律起诉。?

据了解,目前项目国库资金约为1.44亿美元,其中包括价值8850万美元的MNGO代币以及近6000万美元的USDC。

黑客表示,如果官方同意上述方案,将返还部分被盗资金,同时希望不会被进行刑事调查或冻结资金。“如果这个提案通过,我将把这个账户中的MSOL、SOL和MNGO发送到Mango团队公布的地址。Mango项目国库将用于覆盖协议中剩余的坏账,所有坏账的用户将得到完整补偿……一旦代币如上述所述被送回,将不会进行任何刑事调查或冻结资金。”

根据前文统计可以得知,黑客计划送回的资产金额大约是4943万美元,约为被盗资金的42%,这意味着近半数的被盗资产被黑客留下作为「赏金」,这一比例远高于以往攻击事件中官方所承诺的上限。

Mango官方表示,目前最好的解决方式是与攻击者进行沟通。“MangoDAO的优先事项是:防止任何进一步的不必要损失、确保Mango协议的存款人资金安全、尝试挽救MangoDAO的一些价值。Mango认为解决此问题的最具建设性的方法是继续与负责该事件并控制从协议中移除的资金的人沟通,以尝试友好地解决问题。”

目前尚不清楚官方最终是否会同意该提案并进行实施。截至发稿前,黑客提案获得3290万投票赞成,其中3241万票由黑客自己所投,距离通过门槛6709万票还有不小的距离。

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

链链资讯

[0:15ms0-2:959ms