چگونه نقدینگی ضعیف باعث شد که بازار انبه بیش از ۱۱۶ میلیون دلار از دست بدهد

مهاجمان از نقدینگی کم برای سرقت بیش از ۱۱۶ میلیون دلار از Mango Markets استفاده کردند.

به نظر می رسد هکرها از تاکتیک های “تثبیت قیمت اوراکل” در سوء استفاده های خود از شبکه های DeFi مبتنی بر Solana استفاده کرده اند. در توییتی اشاره کرد ارسال شده از حساب رسمی صرافی ارز دیجیتال Mango.

در اواسط اکتبر، معامله‌گران از یک آسیب‌پذیری در پلتفرم معاملات مالی غیرمتمرکز (DeFi) Mango Markets برای سرقت بیش از ۱۱۰ میلیون دلار ارزهای دیجیتال از شبکه استفاده کردند.

ما در حال حاضر در حال بررسی پرونده ای هستیم که در آن هکرها از طریق تثبیت قیمت اوراکل وجوهی را از Mango استخراج کرده اند.

ما اقداماتی را برای مسدود کردن وجوه در انتقال به اشخاص ثالث انجام می دهیم. ۱/

— انبه (@mangomarkets) ۱۱ اکتبر ۲۰۲۲

یک تاپیک دیگر در توییتر حمایت شده است شرح دقیق چگونگی وقوع حادثه. مهاجمان با تامین مالی حساب سایت با ۵ میلیون دلار در USD Coin (USDC) شروع به کار کردند. این وجوه برای خرید ۴۸۳ واحد از قراردادهای دائمی در توکن‌های Mango (MNGO)، ارز دیجیتال بومی این پلتفرم، استفاده شد.

مهاجمان از این تکنیک برای افزایش قیمت MNGO از ۰.۰۳ دلار به ۰.۹۱ دلار استفاده کردند و ارزش دارایی MNGO را به ۴۲۳ میلیون دلار افزایش دادند.

سپس این وجوه برای دریافت وام ۱۱۶ میلیون دلاری با استفاده از چندین توکن در پلتفرم از جمله بیت کوین (BTC)، سولانا (SOL) و سرم (SRM) استفاده شد. متأسفانه، این وام تمام نقدینگی را از Mango Markets تخلیه کرد و قیمت MNGO را به ۰.۰۲ دلار کاهش داد.

سپس تیم توسعه Mango Markets گفت که در حال بررسی اتفاقات رخ داده است و تحقیقاتی را آغاز کرده اند. این پروتکل گفت که اخبار را از طریق رسانه‌های اجتماعی مختلف در دسترس کاربران قرار داده و در حین انجام تحقیقات بیشتر، سپرده‌ها را موقتاً به حالت تعلیق درآورده است. علاوه بر این، این تیم به کاربران توصیه کرد قبل از غیرفعال کردن سپرده‌های نقدی در سایت، از واریز وجه نقد خودداری کنند.

روش های سوء استفاده از بازار انبه

با دستکاری قیمت توکن های MNGO و ایجاد قراردادهای دائمی عظیم، مهاجمان توانستند در مدت زمان کوتاهی قیمت را ۳۰ برابر افزایش دهند. مهاجمان می‌توانند از نقدینگی محدود بازار برای بالا بردن قیمت توکن با صدور تعداد زیادی سفارش خرید برای افزایش قیمت و نقد کردن سرمایه‌گذاران جدید که از آنها به عنوان نقدینگی خروجی استفاده می‌کنند، استفاده کنند. شما می‌توانید با افزایش مصنوعی آن به این هدف برسید. این همان استراتژی مورد استفاده در کلاهبرداری پمپ و دامپ است.

اخیراً: مایک بلشه، مدیر عامل BitGo می گوید: “DeFi به طور کامل جایگزین مؤسسات خواهد شد.”

با این حال، اجرای این نوع بهره برداری زمانی که حجم نقدینگی بسیار زیادی وجود دارد دشوار است، زیرا مقدار نقدینگی مورد نیاز برای دستکاری قیمت بسیار بیشتر است. توکن‌های جدید یا نسبتاً ناشناخته اغلب نقدینگی بسیار پایینی دارند، بنابراین طرح‌های پمپ و تخلیه با چنین توکن‌هایی رایج‌تر هستند.

مانگو مارکت می توانست با نقدینگی کافی در برابر این سوء استفاده دفاع کند. استفاده از بازارسازان خودکار (AMM) یکی از استراتژی هایی است که Mango Markets ممکن است برای افزایش سطح نقدینگی خود به کار گرفته باشد. بازارساز خودکار یک برنامه رایانه ای است که نقدینگی را از کاربران جمع آوری می کند و از فرمول های مختلفی برای تعیین قیمت توکن ها استفاده می کند.

بن راث، یکی از بنیانگذاران و مدیر اطلاعات Auros، یک شرکت سازنده بازار الگوریتمی، به Cointelegraph گفت:

رفتار تجاری نامطلوب محصول جانبی شرایط بازار غیر نقدشونده است. انگیزه انجام کار را افزایش دهید. ”

او افزود: «هنگام کار با بازارسازان الگوریتمی، صادرکنندگان توکن به ثبات نقدینگی خود در شرایط مختلف بازار اعتماد می‌کنند و در عین حال این رفتار نامطلوب را مهار می‌کنند.

دارندگان توکن بزرگ که به عنوان تامین کنندگان نقدینگی (LPs) نیز شناخته می شوند، مسئول عملیات AMM هستند. LP ها مسئول وارد کردن مقدار مساوی از جفت توکن (به عنوان مثال MNGO/USDC) به استخر هستند. این به صرافی‌های غیرمتمرکز اجازه می‌دهد نقدینگی را برون‌سپاری کنند و در عین حال پاداش‌هایی را در قالب بخشی از کارمزد معاملات جمع‌آوری‌شده در پلتفرم به LP‌ها ارائه می‌کنند.

بعد از اکسپلویت

یک روز پس از سوء استفاده از Mango Markets، عاملان از طریق یک سازمان غیرمتمرکز مستقل (DAO) که بخشی از این پلتفرم است، پیشنهاداتی را ارائه کردند. به جای استفاده از سرمایه مهاجمان، مهاجمان به Mango DAO پیشنهاد کردند که بدهی معوقه خود را با ۷۰ میلیون دلار از سرمایه خود پرداخت کند.

در این قرارداد آمده بود که تیم Mango DAO باید از بودجه وزارت دارایی برای پوشش بدهی های مالی معوق خود استفاده کند. مجرمان سایبری سپس توکن های دزدیده شده را به آدرسی که توسط گروه مسئول Mango DAO ارائه شده ارسال می کنند.

به نظر می رسید که هکرها با رای دادن با میلیون ها توکن به دست آمده در حین سوء استفاده از این ایده حمایت می کنند، اما این نوع دیگری از دستکاری است. در صورت تایید، از آنها خواستیم که علیه آنها پیگرد کیفری نکنند.

در نهایت، جامعه Mango Markets موافقت کرد که به مهاجمان اجازه دهد تا بیشتر توکن‌های خود را به عنوان جایزه باگ نگه دارند. این شرط بخشی از معامله ای بود که ۶۷ میلیون دلار توکن های دزدیده شده را بازگرداند و ۴۷ میلیون دلار از ۱۱۷ میلیون دلار باقی مانده را برای مهاجمان باقی گذاشت.

این معامله با رای دادن به Mango DAO انجام شد و ۹۸٪ از رای دهندگان (یا ۲۹۱ میلیون توکن) رای مثبت دادند. این پیشنهاد شامل عدم تسلیم شکایت از سوی مانگو مارکت علیه هکرها بود.

مهاجم هویت را فاش می کند

مهاجمان پشت این سوء استفاده بعداً برای شناسایی خود ظاهر شدند.آبراهام آیزنبرگ اعلام کرد او در توییتر گفت که “درگیر تیمی است که هفته گذشته یک استراتژی معاملاتی بسیار سودآور را اجرا کرد.”

آیزنبرگ ادامه داد: “حتی اگر تیم توسعه به طور کامل تمام عواقب تنظیم پارامترها را همانطور که بودند پیش بینی نمی کرد، همه اقدامات ما یک انتشار عمومی قانونی با استفاده از پروتکل طراحی شده بود.” ما معتقدیم که این رفتار بازار است.

وی خاطرنشان کرد که بازارهای انبه در نتیجه این بهره برداری ورشکسته شد و همچنین گفت که پول بیمه برای پرداخت تمام انحلال هایی که رخ داده است کافی نیست. بیش از ۱۰۰ میلیون دلار پول نقد کاربر به این دلیل از دست رفت.

با این حال، آیزنبرگ ادعا می کند که او “به مذاکره در مورد توافقنامه تسویه حساب با صندوق بیمه” کمک کرد تا همه کاربران را بازگرداند و در عین حال سرمایه صرافی را افزایش داد. آیزنبرگ در پایان موضوع توییتر گفت: «در نتیجه این معامله، همه کاربران بدون از دست دادن وجوه خود، پس از تکمیل تراکنش توسط تیم Mango، به سپرده‌های خود دسترسی کامل خواهند داشت.

آیزنبرگ همچنان معتقد است که اقدامات او قانونی است و شبیه اهرم‌زدایی خودکار در صرافی‌های ارزهای دیجیتال است. اهرم‌زدایی خودکار فرآیندی است که طی آن یک صرافی از بخشی از سود حاصل از معامله‌گران موفق برای پوشش زیان‌های سایر معامله‌گران منحل‌شده استفاده می‌کند.

با این حال، مایکل باتینا، یکی از شرکای شرکت حقوقی استرالیایی پایپر آلدرمن، قبلاً به کوین تلگراف گفت: “اگر این اتفاق در یک بازار مالی تنظیم شده رخ دهد، احتمالاً دستکاری در بازار تلقی می شود.”

اخیراً: آیا قطع اینترنت واقعاً شبکه های رمزگذاری شده را مختل می کند؟

کاربران می توانند از نظر تئوری از آیزنبرگ شکایت کنند، اما باچینا گفت که این کار از نظر تجاری قابل دوام نخواهد بود.

“با فرض اینکه ادعا از پیشنهاد جان سالم به در برد، باید مبلغی را که عضو در نتیجه پیشنهاد دریافت کرد کاهش داد. این ممکن است انگیزه های تجاری بسیاری از اعضا برای شکایت از آقای آیزنبرگ را محدود کند. به این معنی است.”

در ادامه، جالب خواهد بود که ببینیم چگونه پروتکل‌های DeFi پروتکل را ایمن‌تر می‌کنند و از AMM برای خنثی کردن این نوع سوءاستفاده‌ها در وهله اول یا از طریق اقدامات قانونی بعدی استفاده می‌کنند.

نویسنده: Anthony Clarke