MAN:Mango 被盜 1 億美元背后：一場利用閃電貸和 DAO 治理的雙重攻擊_MANGO Chain

作者：flowie，鏈捕手

今晨，Solana生態DeFi項目Mango被盜約1億美元，也是Solana生態歷史上最大的安全事故之一。與多數DeFi攻擊事件類似，這次事故通過閃電貸攻擊進行的，黑客通過操作預言機價格將該協議流動性幾乎全部耗盡，不過很快該事件走向了更加戲劇化與復雜的局面，黑客在Mango治理平臺發起鏈上提案，被認為再度向該項目發起治理攻擊。

Mango是誰？

據悉，Mango是一個去中心化交易和借貸協議，允許用戶在Solana上交易以獲得現貨保證金和交易永續期貨，并由MangoDAO管理。

Mango被攻擊前的TVL為1.04億美元，是Solana生態中TVL第六大的DeFi項目。此外，Mango還受到了Multicoin的大力支持。去年9月，MulticoinCapitaln合伙人SpencerApplebaum表示購買了近1000萬美元MNGO代幣。

NH-Amundi Asset Management上市其第二支元宇宙ETF:2月22日消息，NH-Amundi Asset Management周二上市了其第二支元宇宙ETF，該ETF將專門投資于美國的元宇宙相關公司。HANARO U.S. Metaverse iSelect ETF追蹤了美國元宇宙、虛擬現實和增強現實、鏡像世界領域的20個主要參與者。該ETF基于NH Investment & Securities的美國元宇宙行業指數，其中包括藝電（Electronic Arts）、博通（Broadcom）、PTC、蘋果（Apple）、英特爾（Intel）和Roblox。(Forkast)[2022/2/22 10:07:54]

閃電貸攻擊

跨保證金交易平臺MangoMarket通過代幣銷售籌資7000萬美元:Solana生態去中心化跨保證金交易平臺MangoMarket在關于MNGO代幣的銷售中籌集了逾7000萬美元（70462383美元），且24小時的銷售過程中最高有5億美元左右的資金涌入。此次代幣銷售從平臺自身的資金池以及Serum中獲取流動性，同時未對美國用戶開放。代幣MNGO主要有三個用途：保險基金、治理代幣、激勵做市商的流動性挖礦獎勵，其中90%的代幣被鎖定在治理基金中，5%的代幣被鎖定在保險單中，其余的代幣被鎖定在貢獻者代幣中，而此次融資所得將全部投入DAO保險基金，如發生意外，則將為協議的貸方提供保障。MangoMarket是基于Solana生態的去中心化跨保證金交易平臺，在SerumDEX的鏈上訂單簿上具有高達5倍的杠桿率和集成的限價訂單，用戶可以賺取存款和保證金頭寸的利息，今年3月也在Solana與Serum舉辦的黑客松活動中獲獎。(coindesk)[2021/8/12 1:49:43]

關于黑客套利1億美元的過程，GenesisGlobalTrading衍生品主管JoshuaLim在推特上做了詳細分析。

聲音 | Adamant Capital創始人：區塊獎勵消失后，比特幣亦不會失去其重要性:據AMBcrypto消息，比特幣區塊鏈安全性取決于礦工用自己的系統維護網絡，礦工們也得到了比特幣作為獎勵，這讓他們保持了積極性，進而也保證了網絡的安全。然而這種獎勵是有期限的，有人擔心在獎勵停止后，比特幣的安全性可能會受到威脅。比特幣開發者Tamas Blummer就這種情況評論稱，比特幣區塊鏈的直接使用在未來將“貴得離譜”。 Adamant Capital創始人Tuur Demeester就比特幣未來的發展方向提出了相關比較。Demeester表示，比特幣的現狀類似于石油，兩者之間有很多“可能的相似之處”，比如同樣都花了數年時間才被確定為潛在的主要經濟因素，都面臨著早期的基礎設施問題，而且明顯增長緩慢，但又都表現出快速采用的特征。Demeester想以此來說明，隨著時間的推移，當區塊獎勵消失時，比特幣不會失去其重要性，而是將作為一種虛擬資產得到更多的理解和提煉，并鞏固其作為一種有價值資產的地位。[2019/5/31]

具體來說，黑客有兩個賬號A和B，每個賬號有500萬的USDC。通過賬號A的500萬USDC作為抵押，黑客在MangoMarkets訂單簿上鑄造了4.83億份MNGO永續合約。并很快用賬戶B的500萬USDC，以每份0.03美元的價格購買了這4.83億份MNGO永續合約。

聲音 | Edelman金融服務執行主席：加密貨幣是合法資產類別 投資者應考慮投資策略:據CNBC報道，Edelman金融服務的執行主席Ric Edelman表示相信例如比特幣和以太幣的加密資產有著強大的未來，但投資者必須保持長期關注，并認識到比特幣仍然像美國西部一樣狂野。他認為，加密貨幣是一種合法的資產類別，可以使投資組合多樣化，但對于任何投資者來說，應該只投資不到5％。投資者需要將比特幣視為彩票，準備好失去的可能性。投資者還應考慮投資策略，以幫助降低風險。[2018/6/30]

隨后黑客開始操縱Mango現貨市場價格，將MNGO價格從0.03美元推高至0.91美元，4.83億份MNGO的價值便達到了4.23億美元。黑客又利用賬號B的MNGO作為抵押品，借出1.16億美元的貸款，此時Mango的流動性被耗盡，USDC、MSOL、SOL、BTC、USDT、SRM和MNGO等資產均被抽空，黑客獲利1億美元。

DAO治理操縱

原本只是一場常見的閃電貸攻擊，但出乎意料的是，或許是為讓自己免于刑事調查或資產凍結，黑客再次現身發起了DAO治理攻擊。對于被盜走的1億美元，黑客發起提案要求有國庫來償還用戶損失，并用盜取的大量治理代幣操控投票，讓支持率近乎100%。

這項提案的具體內容是，希望使用Mango國庫中約7000萬枚USDC償還壞賬，如果此提案在3天后的投票中被通過，黑客將把賬戶中MSOL、SOL和MNGO轉入Mango團隊發布的地址。

黑客表示：“協議中剩余的全部壞賬將由Mango國庫償還，沒有壞賬的用戶將不受影響。任何壞賬都將被視為漏洞賞金/保險，由Mango保險基金支付。如果MangoToken持有者通過對該提案的投票，就表示同意支付這筆獎金并用國庫償還壞賬，并放棄對壞賬賬戶的任何潛在索賠，一旦Token按上述規則被償還，將不會進行任何刑事調查或凍結資產。”

值得一提的是，諸如此類的DAO治理攻擊也已屢見不鮮。去年穩定幣協議Beanstalk的攻擊者也是通過閃電貸獲得了一筆貸款，獲取到足夠數量的Beanstalk治理代幣后，立即通過了一項惡意提案，控制了Beanstalk的1.82億美元儲備資金。

此外，跨鏈穩定幣項目TrueSeigniorageDollar、BSC借貸協議Venus、合成資產協議Mirror均遭受到了不同程度的治理攻擊。

DAO治理攻擊純粹是“協議內”攻擊，幾乎無法通過密碼學手段解決。對于頻發的治理攻擊，DAO可能需要真的需要思考，如何利用機制設計來預防和避免。

影響與回應

目前攻擊事件還在發酵，受?Mango攻擊事件影響的協議陸續在發聲。Solana生態算法穩定幣協議UXDProtocol表示，其受Mango攻擊事件影響的資金總額已達近2000萬美元。UXDProtocol已暫停UXD鑄造以達到風險最小化，一旦確認MangoMarkets的問題得到解決，將重新啟用鑄幣功能。

而?Solana生態收益聚合器TulipProtocol約250萬美元資金收到該事件影響，并表示其在Mango攻擊事件中的敞口僅限于USDC/RAY策略資金庫的一部分，即2,465,841.497167USDC和66,721.925355RAY。此外TulipProtocol暫時禁用策略庫的提款，并稱有足夠的資金來支持必要時的損失。

對于此次攻擊事件，Mango目前的回應和措施是，調查事件原因，并凍結第三方流動資金作為預防措施。此外Mango將在前端禁用存款，表示可郵箱聯系討論資金返還的賞金；同時提醒用戶不要存入Mango，鼓勵黑客主動聯系“討論漏洞獎勵”。

而對于與此攻擊事件有關的各方，據Mangao官方推特稱已在MangoDAO進行溝通，并表示愿意進行談判。MangoDAO接下來的優先事項是：1、防止進一步不必要損失。2、確保Mango協議的存款人是完整的。3、嘗試挽救MangoDAO協議的一些價值，并且重建。

目前MNGO的價格急劇下跌。截至發稿時，該資產的交易價格為0.02297美元，日跌幅為43.23%。

Tags：MANMANGOSOL比特幣Spider ManMANGO Chainsol幣有價值嗎買比特幣

非小號