Principaux points à retenir
- Une baleine a manipulé le prix du MNGO de Mango Markets token pour drainer plus de 100 millions de dollars de la plateforme.
- L’attaquant a présenté une proposition de DAO qui verrait le projet engager sa trésorerie pour rembourser la mauvaise dette.
- Le PDG de Mango, Daffy Durairaj, a déclaré que la satisfaction des utilisateurs était sa priorité absolue.
Dans une démarche audacieuse, l’attaquant a utilisé son MNGO tokens pour voter sur leur propre proposition de gouvernance de la DAO Mango.
La baleine s’attaque à Mango
Quelques jours après que le pont de BNB Chain ait été touché par un exploit de 566 millions de dollars, Mango Markets a subi une attaque à neuf chiffres. Le protocole Solana DeFi a été ciblé jeudi dernier après qu’une baleine attaquante ait trouvé le moyen de tirer profit de la manipulation de ses marchés. Mango est un système décentralisé trading construite sur la blockchain Solana. Elle offre des marges et des contrats à terme tradingpermettant aux utilisateurs de Solana DeFi de parier sur l’évolution du prix d’actifs tels que SOL, ETH et BTC. « Long & ; short everything », le slogan sur son site web lit.
Selon une tempête de tweets du mercredi de l’équipe Mango, l’auteur a utilisé ses avoirs en USDC pour prendre deux importantes positions dans des contrats à terme perpétuels pour le MNGO token. Cela a provoqué une flambée artificielle des prix, qui a permis à l’attaquant de contracter une série de prêts importants, vidant ainsi le protocole de ses liquidités. Ils ont drainé plus de 100 millions de dollars dans une variété d’actifs numériques, y compris USDC, MSOL, SOL, BTC, USDT, MNGO et SRM.
Alors que l’équipe Mango a déclaré que la manipulation du prix du MNGO a été exacerbée après que les oracles ont été mis à jour pour montrer un prix gonflé pour les tokenles oracles ont fonctionné comme prévu. Contrairement à certains rapports, il ne s’agissait pas d’une attaque spécifique aux oracles, mais plutôt d’un exemple classique de manipulation du marché. La baleine a été en mesure d’exécuter l’attaque parce qu’elle disposait de millions de dollars de garanties USDC et qu’elle a profité de l’étroitesse du marché. trading sur la plateforme Mango. De telles attaques peuvent constituer une menace pour d’autres protocoles de prêt comme Mango, dont le niveau de sécurité est tout aussi faible. trading activité.
La manipulation du marché est illégale dans le monde traditionnel, mais les attaquants gravitent souvent vers le DeFi, un marché non réglementé que l’on appelle parfois « le Far West de la finance ». Même si les régulateurs ont commencé à surveiller l’espace de plus près en se concentrant sur les stablecoins et les vols de protocoles, il peut leur falloir des années pour enquêter sur un cas et il y a de nombreux incidents qu’ils manquent. Cela fait du DeFi un terrain fertile pour les escroqueries de type « pump-and-dump » comme celles menées par la baleine Mango.
Jeux DAO
Néanmoins, les gestes de la baleine après l’attaque suggèrent qu’elle est consciente de potentielles poursuites pénales. En postant sur le forum de gouvernance de la DAO Mango, l’attaquant a présenté une proposition qui leur permettrait de restituer la majorité des fonds drainés si l’équipe de Mango acceptait d’utiliser 70 millions de dollars d’USDC de sa trésorerie pour rembourser la « mauvaise dette » du protocole. Si cette proposition est adoptée, la trésorerie ira aux utilisateurs de Mango qui ont effectué des dépôts dans le protocole maintenant asséché.
Dans leur note, ils ont également suggéré que voter pour la proposition équivaudrait à un accord pour abandonner tout projet d’enquête criminelle. Elle se lit comme suit :
« En votant pour cette proposition, la mangue token acceptent de payer cette prime et de rembourser la créance irrécouvrable auprès du trésor, et renoncent à toute réclamation potentielle contre les comptes avec créance irrécouvrable, et ne poursuivront pas d’enquêtes criminelles ou de gel de fonds une fois que la tokens sont renvoyés comme décrit ci-dessus ».
La proposition place l’équipe Mango face à ses propres utilisateurs, et elle tente également d’absoudre l’attaquant de tout acte répréhensible aux yeux de la loi. En réalité, cependant, une proposition de gouvernance de DAO a peu de chances de passer auprès des forces de l’ordre ; si les autorités décidaient que cette attaque méritait une enquête, elles n’hésiteraient probablement pas parce que la communauté Mango a accepté de ne pas porter plainte.
De plus, il est peu probable que la proposition soit prise trop au sérieux étant donné que les résultats actuels du vote. L’attaquant a utilisé 32,9 millions de MNGO tokens pour approuver sa propre suggestion, soit environ un tiers du nombre de votes requis pour que la proposition soit adoptée. La clôture est prévue pour samedi en début de journée.
Que se passe-t-il ensuite ?
Bien que l’avenir de Mango ne soit pas clair, l’équipe a déclaré avoir gelé le protocole tôt mercredi pour empêcher quiconque d’effectuer de nouveaux dépôts. Elle a également déclaré que la prévention de nouvelles pertes, l’indemnisation des utilisateurs et la reconstruction à la suite de l’attaque étaient des « priorités » pour la DAO.
Lors d’attaques comme celle-ci, les équipes offrent souvent des primes de bug à leurs attaquants pour le retour en toute sécurité des fonds. Bien que Mango n’ait pas encore fait d’offre de prime à l’attaquant, le PDG du projet, Daffy Durairaj, a pesé sur la proposition de créance irrécouvrable. Il a écrit :
« Salut, c’est Daffy, nous sommes en train de faire le décompte des pertes et de les limiter dans la mesure du possible. Je ne peux pas encore faire de proposition concrète, mais voici mes objectifs par ordre d’importance : 1. Vous êtes innocenté de tout méfait 2. Vous réalisez un bénéfice sain 3. Tous les déposants de Mango sont remboursés 4. La DAO Mango conserve une certaine trésorerie pour se reconstruire Qu’en pensez-vous ? » Durairaj n’a pas précisé si la DAO allait engager 70 millions de dollars de sa trésorerie, mais son post laisse entendre qu’il espère que la DAO conserve au moins une partie de ses réserves.
Durairaj a également posté un tweet en avance mercredi, réitérant aux déposants de Mango qu’il ferait « tout en [his] pouvoir » pour récupérer leurs fonds.
Durairaj et l’attaquant ont tous deux suggéré des plans qui tentent de rendre les utilisateurs de Mango indemnes et de blanchir le nom de l’attaquant, lui permettant de s’en tirer avec un joli bénéfice dans le processus. Bien que Durairaj ait également exprimé l’espoir que l’équipe puisse se « reconstruire » à la suite de l’incident, il reste à voir si Mango sera capable de survivre à un tel choc financier et de réputation.
Divulgation : Au moment de l’écriture, l’auteur de cet article possédait de l’ETH et plusieurs autres cryptocurrences.
Après mon master en Finance à l’université de Paris-Saclay, j’ai décidé de m’investir dans ce monde qui me passionne depuis des années, celui de la blockchain et des crypto monnaies, du web3 et de bien plus encore. Je partage avec vous les actualités du monde des cryptos que je trouve dans la presse internationale.
