MAN:盗取Mango上亿资金后,黑客发起DAO提案试图“免罪”

北京时间今天清晨,Solana??生态去中心化交易平台Mango遭遇黑客攻击,损失高达1.15亿美元。

Mango官方随后发推文称正在采取措施应对,并希望黑客能主动联系商量还款事宜:“我们正在采取措施让第三方冻结流动资金。作为预防措施,我们将在前端禁用存款,并将随着情况的发展提供最新信息。”

Solana生态算法稳定币协议UXDProtocol表示,在Mango攻击事件中受影响资金总额近2000万美元,同时称其保险基金足以弥补损失。

与以往攻击事件的剧情走向不同,这次的黑客“戏瘾很足”,其在realms上发布了一项新的治理提案:希望Mango官方使用国库资金偿还用户坏账;如果官方同意,黑客将返还部分被盗资金,同时希望免受刑事调查或冻结资产。有加密爱好者评论称,Mango黑客算是将?DeFi?与?DAO??玩得明白。

韩国当局正研究美SEC诉XRP案件等案例,以参考制定ST0相关规定:2月14日消息,据消息人士透露,韩国金融监督院下属的数字资产研究组正在以虚拟资产相关的海外事例为中心进行研究,包括仔细参考预计最早于3月取得结果的XRP和美国证券交易委员会(SEC)之间的诉讼,以制定韩国国内证券型代币(ST0)相关规定。

此前金色财经报道,韩国金融服务委员计划允许ST0以证券形式发行和流通,区别于虚拟资产;韩国金融监督院院长表示,将统一代币“证券属性”判断标准,并于本月召开说明会。(News1)[2023/2/14 12:05:10]

截至目前,该提案获得3290万投票赞成,其中3241万票由黑客自己所投,距离通过门槛还有一半的距离。

操纵MNGO价格进行攻击

结合加密研究员?@JoshuaLim?以及?@Mango?官方的事故报告,我们将本次攻击过程进行还原,大致如下:

矿企Hut 8 12月产出161枚比特币,总持有量达9086枚:1月6日消息,矿企Hut 8在2022年12月共产出161枚比特币,2022年累计产出3568枚比特币。截至2022年12月31日,Hut 8储备中比特币总量为9086 枚,较2021年底增加65%。(prnewswire)[2023/1/6 10:58:49]

黑客首先向Mango?交易所?A、B地址分别转入500万美元,两个地址分别是:

A:CQvKSNnYtPTZfQRQ5jkHq8q2swJyRsdQLcFcj3EmKFfX;B:4ND8FVPjUGGjx9VuGFuJefDWpg3THb58c277hbVRnjNa;而后,黑客通过A地址在Mango上利用MNGO永续合约做空平台币??MNGO,开仓价格0.0382美元,空单头寸4.83亿个;与此同时,黑客在B地址上做多MNGO,开仓价格0.0382美元,多单头寸4.83亿个。

欧洲央行行长:数字欧元不会用于商业目的:金色财经报道,欧洲央行行长Christine Lagarde周三在法兰克福的一次会议上谈到央行数字货币(CBDC)的可能性时表示,欧洲央行“保证这些支付不会被用于商业目的。这位欧洲央行行长回顾了 2021 年 1 月的一项调查,该调查是在启动其数字欧元调查之前推出的,该调查在欧洲受访者对数字货币的预期功能列表中名列前茅。

拉加德表示,数字欧元本质上是一种“匿名性稍差”的纸币,但她承诺与出售通过支付收集的数据的公司不同,欧洲的 CBDC 将保护公民。[2022/9/28 5:57:36]

Kyber Network:攻击媒介已被成功识别并删除,此次攻击源于一个前端漏洞:金色财经消息,链上流动性协议Kyber Network发文称,攻击媒介已被成功识别并删除,Kyber Swap智能合约、聚合器和API一直是安全的,此次攻击源于一个前端漏洞,与Kyber Network的智能合约无关。

昨日报道,Kyber Network表示攻击者在9月6日前返还资金可获得15%漏洞赏金,否则将采取下一步行动。[2022/9/6 13:12:02]

在完成初步建仓后,黑客转身攻击多个平台上MNGO的现货价格,致使价格出现5-10倍的增长,该价格通过Pyth?预言机?传递到其中Mango交易所,进一步推动价格上涨,最终Mango平台上MNGO价格从0.0382美元拉升至最高0.91美元。

美国CFPB 成立新的创新部门以明确现有规则:金色财经报道,美国消费者金融保护局正在用一个新的单位取代其创新办公室,以支持一个更广泛的倡议。新的 \"创新和竞争办公室 “将取代以前的创新办公室,该办公室主要分析需要对个别公司进行特殊监管的领域。该办公室的任务是处理无行动函的申请和监管沙盒的条款。根据监管机构的公告,新办公室将 “分析开放市场的障碍,更好地了解大公司是如何挤压小公司的,举办孵化活动,并在总体上使人们更容易转换金融供应商\"。新的办公室不是专注于对个别创新者的补贴,而是寻求广泛促进创新。

该公告没有具体提及加密货币,但该办公室在上个月援引《多德-弗兰克法案》中一项基本上未使用的条款时为进行更多干预奠定了基础,使其能够监督从事面向消费者的金融服务的“非银行机构”基于潜在风险,该规则将于本周生效。(the block)[2022/5/25 3:39:51]

此时,黑客的多头头寸收益为4.83亿个*=4.2亿美元,黑客再利用账户净资产从Mango进行借贷;好在平台流动性不足,黑客最终只借出近1.15亿美元资产,其中包括:5441万?USDC?、76.85万个MSOL、76.16万个SOL、281个?BTC?、326万个?USDT?、235.4万个SRM以及3241万个MNGO,如下所示:

事故发生后,Mango官方表示已在10月12日10:37冻结Mango程序指令,以防止任何用户进一步与协议交互。

实际上,Mango此次遭遇攻击本可以避免。早在今年3月,名为@Ozcal的Discord用户就在社群中提醒,Mango对MNGO的头寸没有进行限制,可能导致黑客利用价格攻击,套取平台资产。但彼时,没人在意这一bug。

“也许根据现货流动性对衍生品头寸进行限制,可以规避利用现货价格攻击衍生品交易。”JoshuaLim给出建议。

项目方向黑客妥协?

攻击发生后,黑客发布了一项新提案,表示希望官方利用国库资金偿还协议坏账。据了解,目前国库资金约为1.44亿美元,其中包括价值8850万美元的MNGO代币以及近6000万美元的USDC。

黑客表示,如果官方同意上述方案,将返还部分被盗资金,同时希望不会被进行刑事调查或冻结资金。“如果这个提案通过,我将把这个账户中的MSOL、SOL和MNGO发送到Mango团队公布的地址。Mango国库将用于覆盖协议中剩余的坏账,所有坏账的用户将得到完整补偿……一旦代币如上述所述被送回,将不会进行任何刑事调查或冻结资金。”

根据前文统计可以得知,黑客计划送回的资产金额大约是4943万美元,约为被盗资金的42%,这意味着近半数的被盗资产被黑客留下作为「赏金」,这一比例远高于以往攻击事件中官方所承诺的上限。

Mango官方表示,目前最好的解决方式是与攻击者进行沟通。“MangoDAO的优先事项是:防止任何进一步的不必要损失、确保Mango协议的存款人资金安全、尝试挽救MangoDAO的一些价值。Mango认为解决此问题的最具建设性的方法是继续与负责该事件并控制从协议中移除的资金的人沟通,以尝试友好地解决问题。”

法律专家、LegalDAO发起人MasterLi认为,无论从哪个国家法律的视角,也无论这次投票是否能通过,黑客的犯罪性质是毫无疑问的,其试图通过这种方式来逃避个人责任,这在任何国家法律下都是行不通的。

“另一个层面是DAO治理规则的层面。在缺少DAO实体的情况下,我认为DAO的治理规则可以被认为是DAO成员之间的某种合同或者契约。黑客通过盗取Token参与到合同关系中,行使提案的权利,法理上是绝对站不住脚的。换句话说,黑客提案和投票的权利本身就是有瑕疵的。这个意义上,「官方」如果以此为由否认这次提案也并不是毫无理由的,我也不认为这有悖DAO的宗旨。这就好比说我去参与民主选举,有人抢了我的选票帮我投票了,那这次投票毫无疑问是无效的。”

目前尚不清楚官方最终是否会同意该提案并进行实施。截至发稿前,黑客提案获得3290万投票赞成,其中3241万票由黑客自己所投,距离通过门槛6709万票还有不小的距离。

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

地球链

中币下载CON:devcon6 记录

这是今年第二次来波哥大,也是第一次来devcon,可惜已经物是人非。同事大庄一直说今年devcon是三年来第一次办,而19年大阪的devcon出现了comp、uni等defi项目,是defisu.

[0:15ms0-1:139ms