MAN:Mango遭黑客攻擊，Solana生態中有哪些項目受到影響？_MANGO

10月12日，Solana生態中的去中心交易和借貸平臺MangoMarkets遭到攻擊。攻擊者通過自身的兩個賬戶關聯交易后，分別持有大量MNGO-PERP的多頭和空頭頭寸，再將FTX、Ascendex等交易所上的價格拉高數十倍，空頭賬戶資不抵債，但多頭賬戶數億美金的賬面利潤，使攻擊者能夠提取協議中的BTC、USDT、SOL、USDC等資產，最終獲利約1億美元。

事后，攻擊者在社區發起提案，希望能將Mango金庫中的約7000萬美元用于償還壞賬，攻擊者再將MSOL、SOL、MNGO發送到Mango團隊的地址，并要求不被追究刑事責任。該提案的支持率雖然高達99.9%，但仍未達到通過提案所需的投票數量。Mango團隊也還在和攻擊者進行溝通。

由于DeFi的可組合性，Mango已經是Solana生態中較為頭部的項目，具備杠桿交易和借貸功能，多個使用Mango的DeFi項目也受到本次攻擊的影響，下文中PANews將盤點受影響的項目和解決方案。

Tinyman遭遇攻擊，官方要求移除流動性并計劃部署新合約:1月2日消息，基于Algorand的自動做市商（AMM）Tinyman發推稱，1月1日/2日，Tinyman Pools發生一起攻擊事件。該攻擊利用合約中一個以前未知的漏洞，并允許攻擊者從其無權訪問的池中提取資產。到目前為止，攻擊已經在多個池中執行，但是并非所有池都遭受攻擊。

作為一個無需信任的協議，Tinyman使用不可更改的合約。不幸的是，這意味著現有資金池沒有快速解決此問題的能力。Tinyman將修復該問題，部署新版本的合約，并制定遷移計劃。

與此同時，Tinyman認為最好的行動計劃是要求社區從所有Tinyman池中移除所有流動性。Tinyman將在未來幾天發布一份詳細的事故報告。[2022/1/2 8:20:24]

UXDProtocol

Manta Network測試網Dolphin Testnet已上線:12月13日消息，Manta Network已發布測試網Dolphin Testnet，并上線基于zkSNARK的隱私支付功能DolphinPay，DolphinPay可以將波卡生態內的資產轉換為隱私代幣，并支持隱私代幣的轉賬以及贖回。在經過測試網驗證后，隱私支付功能將會上線Calamari和Manta網絡。

Manta Network致力于通過隱私保護構建一個更好的Web3世界。Manta的產品設計從第一性原理出發，通過zkSNARK等密碼學架構為區塊鏈用戶提供端對端的隱私保護。在保障隱私的同時，Manta兼具互操作性、便捷性、高性能以及可審計性，允許用戶進行任意平行鏈資產間的隱私轉賬和交易。Manta的愿景是為整個區塊鏈世界提供更便捷的隱私保護服務。[2021/12/13 7:36:27]

UXDProtocol是一個去中心化的穩定幣協議，依靠delta中性頭寸來保證1UXD能夠贖回為1美元的資產。用戶可以用SOL鑄造UXD穩定幣，對于用戶，這個過程等同于直接購買，協議依靠delta中性策略來保證抵押品價值不受市場波動影響。

動態 | Kleiman訴訟案新文件顯示或存在第二個Tulip Trust:據CoinDesk消息，訴訟案的一份聲明文件詳細說明了澳本聰（Craig Wright）所謂的所有權以及Tulip Trust受托人計劃，該計劃據稱持有超過一百萬比特幣。根據新文件，獲得信托的持有權需要所有受托人的參與，其中至少有一名受托人澳本聰已多年沒有與其聯系過。該法院文件最初于5月8日提交，并指出存在第二個Tulip Trust，即Tulip Trust II。此外，Tulip Trust合并了澳本聰在在2009年至2011年期間挖掘及購買的比特幣。[2019/6/21]

比如某用戶在SOL價格為50美元時，以1SOL鑄造了50UXD，協議同步在Mango上開設1SOL的空單。當SOL價格跌至40美元時，協議持有的對應該用戶鑄造50UXD的資產包括：價值40美元的1SOL和永續合約上做空1SOL盈利的10美元，始終保證鑄造的UXD能夠完全贖回。

聲音 | Edelman金融服務執行主席：加密貨幣是合法資產類別 投資者應考慮投資策略:據CNBC報道，Edelman金融服務的執行主席Ric Edelman表示相信例如比特幣和以太幣的加密資產有著強大的未來，但投資者必須保持長期關注，并認識到比特幣仍然像美國西部一樣狂野。他認為，加密貨幣是一種合法的資產類別，可以使投資組合多樣化，但對于任何投資者來說，應該只投資不到5％。投資者需要將比特幣視為彩票，準備好失去的可能性。投資者還應考慮投資策略，以幫助降低風險。[2018/6/30]

在本次攻擊中，UXDProtocol暴露在Mango中的風險頭寸價值1998.6萬美元。UXDProtocol保險資金的余額為5352.7萬美元，完全能夠賠付，UXDProtocol已經暫停了UXD的鑄造。用戶可以通過Jupiter等聚合交易所將UXD兌換為等值的USDC，目前UXD仍維持1美元，穩定幣UXD的持有者并未受到影響。

TulipProtocol

Tulip是一個收益聚合器，能夠幫助用戶將收益自動復投。Tulip上最常用的功能是杠桿挖礦和借貸，用戶可以在Tulip上借入資金進行杠桿挖礦，也可以在其中存入資金獲得利息收益。

在Mango的攻擊中，杠桿挖礦和借貸部分并沒有受到影響。但是USDC和RAYStrategyVaults受到影響，暴露在Mango中的敞口分別為246.6萬USDC和6.67萬RAY。TulipProtocol表示，如果有必要，團隊有足夠的資金來彌補損失。

Friktion

Friktion構建了在各種市場中產生回報的投資機會，它創建了一套原生投資組合策略Volts，可以根據不同的風險偏好選擇不同的Volts，存入資產，產生被動收益。Volts的策略包括：賣出看漲期權、賣出看跌期權、delta中性策略、基差套利策略、資金保護策略。

本次受到影響的是Volt#4基差套利策略，該策略在Mango上做多SOL-PERP，再借入SOL賣掉，實現delta中性。這個策略會在永續合約交易價格低于現貨價格時表現較好，因為UXDProtocol等有做空的需求，因此該策略有收取資金費用的空間。

該策略在Mango上的風險敞口約23萬美元，以做多永續合約、做空現貨的形式存在。目前Friktion已經關閉Volt#04前端的存款功能，Friktion受到的影響不大，團隊在等待Mango的處理。

MercurialProtocol

Mercurial是一個穩定幣交易協議，為了提高流動性提供者的利潤，避免流動性的閑置，Mercurial又構建了DynamicVaults，將資金分配到借貸協議等外部平臺，以賺取額外的利息收益。Mercurial表示，未來將專注于建立DynamicVaults。

本次受到影響的正是DynamicVaults，Mango是DynamicVaults分配資產的借貸平臺之一，Mercurial官網顯示分配給Mango的流動性為92.5萬美元，團隊稱已經通過限制存款來降低影響，但尚未表明如何處理。

GoblinGold

GoblinGold是一個收益聚合器，通過定制的策略產生更高的收益，希望能夠構建不同風險偏好的策略并整合跨鏈資產。

在Mango遭到攻擊時，GoblinGold的USDCVault正好部署在Mango上，目前只能寄希望于Mango與攻擊者的談判。

小結

攻擊者通過操縱MNGO的市場價格獲利，這樣的攻擊方法已經多次發生在Venus等借貸平臺中。這些平臺幣的流動性通常較低，一定的資金量便可以操縱價格，因此平臺在選擇其作為抵押品或者開通杠桿交易時應當小心。

好在Mango金庫中尚有部分資金，且Solana中的其它借貸平臺并不支持MNGO作為抵押品，沒有造成更大的影響。目前來看，生態中受影響最大的是UXDProtocol，雖然UXDProtocol中有足夠的資金進行償還，但UXDProtocol本身依賴于在Mango進行對沖而發行穩定幣，會對UXDProtocol的機制造成挑戰。

Tags：MANMANGOSOLROTMANGAMango MarketsSOLDIER幣Boson Protocol

PEPE幣