SOL:鈔能力攻擊 黑客如何用一千萬“撬動”Solana 生態上億資金？_MAN

北京時間今天清晨，成都鏈安鷹眼-Web3安全預警與監控平臺監測顯示，Solana生態去中心化交易平臺Mango遭遇黑客攻擊，影響高達1.16億美元。

根據Odaily星球日報的報道，Mango官方隨后發推文稱正在采取措施應對，并希望黑客能主動聯系商量還款事宜：“我們正在采取措施讓第三方凍結流動資金。作為預防措施，我們將在前端禁用存款，并將隨著情況的發展提供最新信息。”

與以往攻擊事件的劇情走向不同，這次的黑客“戲癮很足”，其在realms上發布了一項新的治理提案：希望Mango官方使用項目國庫資金償還用戶壞賬；如果官方同意，黑客將返還部分被盜資金，同時希望免受刑事調查或凍結資產。有加密愛好者評論稱，Mango黑客算是將DeFi與DAO玩得明白。

AP_Abacus：購買CoinDesk是DCG CEO和Bloq聯創之間的內部交易:金色財經報道，據推特加密KOL AP_Abacus透露，購買CoinDesk是DCG首席執行官Barry Silbert和區塊鏈初創公司Bloq聯合創始人Matthew Roszak之間的內部交易。Matthew和Barry關系密切。Bloq是DCG目前的投資組合公司。

金色財經報道，據《華爾街日報》援引知情人士報道，一投資者集團接近以1.25億美元收購加密媒體CoinDesk。該投資集團由專注于加密貨幣和Web3技術的私人投資公司Tally Capital的Matthew Roszak和風險投資公司兼家族理財辦公室Capital6的Peter Vessence領導。[2023/7/22 15:51:24]

截至目前，該提案獲得3290萬投票贊成，其中3241萬票由黑客自己所投，距離通過門檻還有一半的距離。

Maverick Protocol：部分LP部署流動性時無法訪問其頭寸，正與The Graph合作解決:6月29日消息，DeFi基礎設施Maverick Protocol發布公告稱，由于過去兩天的交易激增，The Graph 提供的子圖服務出現了顯著延遲，導致一些 LP 在部署流動性到鏈上時無法在 UI 中訪問其流動性頭寸，目前正在與 The Graph 團隊合作清除這些區塊。一旦問題得到解決，將盡快向所有人更新。[2023/6/29 22:07:59]

針對本次事件，成都鏈安安全團隊進行了分析。

1?“價格操縱”攻擊手法講解

Metaplex發布使其代幣元數據合約完全去中心化的具體措施:5月23日消息，Solana生態NFT平臺Metaplex今天發布關于代幣元數據的公告，相關三個重要更新為：1.Metaplex基金會將使代幣元數據（Token Metadata）達到不可更改的最終狀態，這意味著任何實體都不能升級或修改程序或其管理的資產。2.Metaplex基金會和Solana基金會已就保留代幣元數據的某些關鍵特征的計劃達成一致，包括代幣元數據訪問無需許可、繼續平等對待所有調用代幣元數據來創建、更新、轉移、銷毀、上線、購買或銷售NFT的程序、不會使用 MPLX對代幣元數據的功能進行門控；3.將在未來幾天向代幣元數據程序中引入適度的網絡費用，范圍從0.01到0.001 SOL。通過建立完全去中心化代幣元數據的路徑，該框架確保了一個公平、可靠和無需許可的生態系統，以及對協議的持續投資，以長期發展Solana NFT。[2023/5/23 15:20:31]

黑客使用了兩個賬戶，一共1000萬USDT起始資金。

加密資產管理公司BlockTower推出1.5億美元新基金:10月13日消息，加密資產管理公司BlockTower推出一個專門的風投部門以及一個新的1.5億美元基金。 BlockTower最近對Aptos、Lighthouse Labs和Maple Finance等初創公司的投資都屬于這個新基金。該基金的LP包括Mass Mutual、VanEck Equities、BPI France、Circle、Teacher Retirement System of Texas等。（TheBlock）[2022/10/14 14:26:58]

第一步，攻擊者向Mango市場存入了5MUSDC。

第二步，攻擊者在MNGO-ERP市場創建了一個483M的PlacePerpOrder2頭寸。

第三步，MNGO的價格被操縱，從0.0382美元到0.91美元，通過使用一個單獨的賬戶對其頭寸進行對手交易。

Account2

賬戶2現在有483*(0.91-0.03298美元)=4.23億美元，這使得攻擊者可以借出1.16億美元的資金。

2??項目方向黑客妥協？

該黑客在Mango治理上提出了一個提案，試圖通過談判獲得賞金。該提案要求Mango?Treasury支付7000萬以償還壞賬。黑客將放棄一半的收益以避免法律起訴。?

據了解，目前項目國庫資金約為1.44億美元，其中包括價值8850萬美元的MNGO代幣以及近6000萬美元的USDC。

黑客表示，如果官方同意上述方案，將返還部分被盜資金，同時希望不會被進行刑事調查或凍結資金。“如果這個提案通過，我將把這個賬戶中的MSOL、SOL和MNGO發送到Mango團隊公布的地址。Mango項目國庫將用于覆蓋協議中剩余的壞賬，所有壞賬的用戶將得到完整補償……一旦代幣如上述所述被送回，將不會進行任何刑事調查或凍結資金。”

根據前文統計可以得知，黑客計劃送回的資產金額大約是4943萬美元，約為被盜資金的42%，這意味著近半數的被盜資產被黑客留下作為「賞金」，這一比例遠高于以往攻擊事件中官方所承諾的上限。

Mango官方表示，目前最好的解決方式是與攻擊者進行溝通。“MangoDAO的優先事項是：防止任何進一步的不必要損失、確保Mango協議的存款人資金安全、嘗試挽救MangoDAO的一些價值。Mango認為解決此問題的最具建設性的方法是繼續與負責該事件并控制從協議中移除的資金的人溝通，以嘗試友好地解決問題。”

目前尚不清楚官方最終是否會同意該提案并進行實施。截至發稿前，黑客提案獲得3290萬投票贊成，其中3241萬票由黑客自己所投，距離通過門檻6709萬票還有不小的距離。

Tags：MANGOMANBLOSOLMango MarketsSMAN價格LBLOKNFTSOL幣

火幣APP下載