DAO:盜取Mango上億資金后，黑客發起DAO提案試圖“免罪”_UMAN

北京時間今天清晨，Solana生態去中心化交易平臺Mango遭遇黑客攻擊，損失高達1.15億美元。

Mango官方隨后發推文稱正在采取措施應對，并希望黑客能主動聯系商量還款事宜：“我們正在采取措施讓第三方凍結流動資金。作為預防措施，我們將在前端禁用存款，并將隨著情況的發展提供最新信息。”

Solana生態算法穩定幣協議UXDProtocol表示，在Mango攻擊事件中受影響資金總額近2000萬美元，同時稱其保險基金足以彌補損失。

與以往攻擊事件的劇情走向不同，這次的黑客“戲癮很足”，其在realms上發布了一項新的治理提案：希望Mango官方使用國庫資金償還用戶壞賬；如果官方同意，黑客將返還部分被盜資金，同時希望免受刑事調查或凍結資產。有加密愛好者評論稱，Mango黑客算是將DeFi與DAO玩得明白。

PeckShield：9小時前0xbd4E地址盜取價值約127萬美元ARB:3月31日消息，PeckShield監測顯示，9小時前，以0xbd4E開頭的攻擊者地址盜取93.3375枚ARB，并換成713枚ETH（約127萬美元），后將其跨鏈至以太坊上。以0xB209開頭的攻擊者地址盜取10.5萬枚ARB，并將其轉入0xC4cf地址與0xB209地址。3月24日，0xbd4E地址與0x7afd地址盜取7250枚ARB，當時價值約1萬美元。[2023/3/31 13:37:45]

截至目前，該提案獲得3290萬投票贊成，其中3241萬票由黑客自己所投，距離通過門檻還有一半的距離。

The Sandbox：第三方盜取員工計算機權限，向用戶發送包含惡意鏈接的電子郵件:3月2日消息，The Sandbox 發文表示，2 月 26 日發現未經授權的第三方獲得了團隊一名員工計算機的訪問權限，并使用其權限發送了一封虛假的聲稱來自 The Sandbox 的電子郵件。這封名為“The Sandbox Game (PURELAND) Access”的電子郵件包含指向惡意軟件的超鏈接，能在用戶的計算機上遠程安裝惡意軟件，從而授予其對計算機的控制權和對用戶個人信息的訪問權。

The Sandbox 表示，在發現未經授權的訪問后，已通知收件人，并封禁了該員工的帳戶和對 The Sandbox 的訪問，目前還沒有發現任何進一步的影響。[2023/3/2 12:38:31]

@JoshuaLim以及@Mango官方的事故報告，我們將本次攻擊過程進行還原，大致如下：

黑客稱已盜取Ledger和Trezor的數據庫 Ledger和Trezor回應此為謠言:5月24日消息，數據泄露監控服務Under The Breach報道稱，一個以太坊論壇的黑客聲稱擁有Trezor和Ledger的數據庫以及其他重要的信息。這些數據庫據說是通過Shopify漏洞獲得的。黑客還聲稱擁有BankToTheFuture的完整SQL數據庫。他們稱其目前正在出售這些信息。目前還不清楚這些入侵的時間，但它可能是一個宣傳噱頭。Ledger對此回應稱，所謂的黑客數據庫“到目前為止與我們的真實數據庫不匹配”。“黑客可能完全在撒謊。Ledger將繼續對此事進行調查以證實。Trezor在推特上回應道：“有傳言說我們的eshop數據庫已經被Shopify入侵。我們的eshop不使用Shopify，但我們仍在調查情況。我們還經常從數據庫中清除舊客戶記錄，以盡量減少可能的影響。”（Beincrypto）[2020/5/25]

黑客首先向Mango交易所A、B地址分別轉入500萬美元，兩個地址分別是：

印度一女性入侵前雇主硬件錢包 盜取價值366萬盧比比特幣:3月20日消息，印度班加羅爾網絡犯罪警察周二逮捕了一名女性Ayushi，據稱Ayushi通過訪問她曾工作的加密貨幣交易所BitCipher Labs的硬件錢包，在1月11日至3月11日之間轉移走了63.54枚比特幣，價值約為366萬盧比。表示，這名女子在這家交易所工作時，通過某種非法的方式獲知了錢包私鑰，隨后她購買了一個新的硬件錢包，并通過Swaplab交易所將盜走的比特幣轉換為Monero加密貨幣，隨后將其轉移到她的幣安帳戶中。目前，這名女子已經將盜走的比特幣悉數歸還。（Newindianexpress）[2020/3/20]

A：CQvKSNnYtPTZfQRQ5jkHq8q2swJyRsdQLcFcj3EmKFfX；

B：4ND8FVPjUGGjx9VuGFuJefDWpg3THb58c277hbVRnjNa；

而后，黑客通過A地址在Mango上利用MNGO永續合約做空平臺幣MNGO，開倉價格0.0382美元，空單頭寸4.83億個；與此同時，黑客在B地址上做多MNGO，開倉價格0.0382美元，多單頭寸4.83億個。

FTX、Ascendex）上MNGO的現貨價格，致使價格出現5-10倍的增長，該價格通過Pyth預言機傳遞到其中Mango交易所，進一步推動價格上漲，最終Mango平臺上MNGO價格從0.0382美元拉升至最高0.91美元。

USDC、76.85萬個MSOL、76.16萬個SOL、281個BTC、326萬個?USDT、235.4萬個SRM以及3241萬個MNGO，如下所示：

項目方向黑客妥協？

攻擊發生后，黑客發布了一項新提案，表示希望官方利用國庫資金償還協議壞賬。據了解，目前國庫資金約為1.44億美元，其中包括價值8850萬美元的MNGO代幣以及近6000萬美元的USDC。

黑客表示，如果官方同意上述方案，將返還部分被盜資金，同時希望不會被進行刑事調查或凍結資金。“如果這個提案通過，我將把這個賬戶中的MSOL、SOL和MNGO發送到Mango團隊公布的地址。Mango國庫將用于覆蓋協議中剩余的壞賬，所有壞賬的用戶將得到完整補償……一旦代幣如上述所述被送回，將不會進行任何刑事調查或凍結資金。”

根據前文統計可以得知，黑客計劃送回的資產金額大約是4943萬美元，約為被盜資金的42%，這意味著近半數的被盜資產被黑客留下作為「賞金」，這一比例遠高于以往攻擊事件中官方所承諾的上限。

Mango官方表示，目前最好的解決方式是與攻擊者進行溝通。“MangoDAO的優先事項是：防止任何進一步的不必要損失、確保Mango協議的存款人資金安全、嘗試挽救MangoDAO的一些價值。Mango認為解決此問題的最具建設性的方法是繼續與負責該事件并控制從協議中移除的資金的人溝通，以嘗試友好地解決問題。”

法律專家、LegalDAO發起人MasterLi認為，無論從哪個國家法律的視角，也無論這次投票是否能通過，黑客的犯罪性質是毫無疑問的，其試圖通過這種方式來逃避個人責任，這在任何國家法律下都是行不通的。

“另一個層面是DAO治理規則的層面。在缺少DAO實體的情況下，我認為DAO的治理規則可以被認為是DAO成員之間的某種合同或者契約。黑客通過盜取Token參與到合同關系中，行使提案的權利，法理上是絕對站不住腳的。換句話說，黑客提案和投票的權利本身就是有瑕疵的。這個意義上，「官方」如果以此為由否認這次提案也并不是毫無理由的，我也不認為這有悖DAO的宗旨。這就好比說我去參與民主選舉，有人搶了我的選票幫我投票了，那這次投票毫無疑問是無效的。”

目前尚不清楚官方最終是否會同意該提案并進行實施。截至發稿前，黑客提案獲得3290萬投票贊成，其中3241萬票由黑客自己所投，距離通過門檻6709萬票還有不小的距離。

Tags：MANGOMANDAOTHEmango幣是什么東西UMANThreeOh DAOethereum網絡

以太坊交易