CertiK首發：Mango market遭受攻擊 損失1.16億美元_CER

北京時間2022年10月11日6:19，CertiKSkynet天網監測到Mangomarket遭到黑客攻擊，截至目前已損失1.16億美元。攻擊者操縱MNGO代幣的價格，并惡意借貸超出應有數額的資產。

攻擊步驟

①在此交易中，攻擊者向第一個帳戶提供了500萬枚USDC。

Balancer計劃為HAUS/WETH、COW/GNO、COW/WETH池添加veBAL流動性Gauge:4月9日消息，去中心化交易所Balancer發布三個社區提案投票，分別計劃為HAUS/WETH、COW/GNO、COW/WETH 池添加 veBAL 流動性 Gauge，從而使得 Balancer 獎勵可以分配到這些流動性池中。[2022/4/9 14:14:25]

②攻擊者在訂單簿中提供了4.83億單位的MNGOperps。

去中心化交易所CrownSwap通過Certik安全審計:據悉，去中心化交易所CrownSwap已經通過美國知名安全審計公司Certik代碼審計，CrownSwap首創單邊流動性提供機制，有著創新的經濟激勵模型和成熟的技術團隊，在V2版本上線后，日交易額已經突破1700萬美金。[2021/12/9 13:00:28]

動態 | NEO Global Capital參投Cere Network最新一輪風險融資:據SiliconANGLE 7月4日消息，區塊鏈客戶關系管理初創公司Cere Network近日完成了一筆數額不詳的風險融資。投資方除此前披露的Arrington XRP Capital外，還包括NEO Global Capital。今年6月，該公司從Binance Lab的孵化項目中畢業。[2019/7/4]

③之后攻擊者向第二個賬戶注資。

④然后以每單位0.0382美元的價格做多了4.83億單位的MNGOperps。

⑤?攻擊者通過操縱價格預言機上MNGO的價格，將其拉高到0.91美元，從而在第二個賬戶上獲利。

⑥由于MNGO/美元的價格為每單位0.91美元，第二個賬戶能夠在Mangomarket上借用其他代幣。攻擊者還用第二個賬戶中的資金在Mangomarket上借入其他代幣。?

⑦上述借款行為使第一個帳戶的壞賬總額為11,306,771.61美元，造成了115,182,674.43美元的資產損失。

除此之外，攻擊者已提交將代幣發回的建議：

https://dao.mango.markets/dao/MNGO/proposal/3WZ5DpZXDvNAK4JwPS1HDPzSinEJUGpBC4XXx9vPtnVS

漏洞分析

攻擊者操縱了價格預言機中Mango代幣的價格。

例如其中一個價格預言機Switchboard使用的是FTX和Raydium提供的價格。Raydium(https://solscan.io/account/34tFULR...)的流動性極低，易于操作。

寫在最后

攻擊發生后，CertiK的推特預警賬號以及官方預警系統已于第一時間發布了消息。同時，CertiK也會在未來持續于官方公眾號發布與項目預警相關的信息。

Tags：CERBALMNGMNGOCERESmexcglobal這個可靠么MNGO幣

幣贏