Hack de Mango Markets : une prime de 70 millions de $ réclamée par le pirate
Un sacré hacker qui n’a pas froid aux yeux – Les hacks de protocoles de finance décentralisée sont désormais monnaie courante. Heureusement, dans certains cas, les équipes du protocole arrivent à s’arranger avec le hacker. Dans d’autres, le hacker dicte ses règles. C’est notamment ce qui est en train de se passer dans l’affaire du hack de Mango Markets sur Solana.
Hack de Mango Markets : 100 millions de dollars envolés
Mango Markets est une plateforme d’échange décentralisée sur Solana. Celle-ci propose également différents produits, comme du trading à effet de levier ou du lending.
Malheureusement, le mercredi 12 octobre, Mango Markets a été la cible d’une attaque d’envergure. En effet, un attaquant a réussi à trouver une brèche dans le protocole et extirper l’équivalent de 112 millions de dollars dans les pools du protocole.
En pratique, il semblerait que l’attaquant ait réussi son attaque via une manipulation d’oracle. Celui-ci a pu obtenir des jetons MNGO avant de faire artificiellement augmenter leurs prix et contracter des prêts sur le protocole, en utilisant ces jetons à la valeur artificiellement gonflée en collatéral.
Suite à cette attaque, le protocole Mango Markets se retrouve avec plus de 100 millions de dollars de mauvaise dette. En effet, une dette est considérée comme mauvaise lorsque celle-ci ne dispose plus d’un collatéral suffisant pour l’assurer.
Un hacker culotté qui profite du hack
Finalement, peu après l’attaque, notre hacker a décidé de chercher à trouver un arrangement et s’est tourné vers le module de gouvernance du protocole.
Ce dernier a quelques propositions pour le moins surprenantes :
- Celui-ci souhaite conserver 70 millions de dollars en tant que bug bounty ;
- Il souhaite utiliser la trésorerie du protocole pour essuyer la mauvaise dette.
En fait, celui-ci propose que la trésorerie du protocole couvre le remboursement de la mauvaise dette qu’il a lui-même initiée :
« La trésorerie de Mango Markets sera utilisée pour couvrir toute créance irrécouvrable restante dans le protocole, et tous les utilisateurs sans créance irrécouvrable seront remboursés. Toute créance irrécouvrable sera considérée comme une prime de bug/assurance, payée à partir du fonds d’assurance Mango. »
De surcroît, si la proposition passe, le hacker souhaite que la communauté ne « poursuive pas d’enquête criminelle ou gèle les fonds ». Rien que cela !
Plus encore, notre hacker a finalement utilisé les fonds dérobés pour voter en faveur de sa propre proposition. Ainsi, celui-ci représente 0,66 % des fonds totaux déployés pour voter.
Des réactions paradoxales au sein de la communauté
Du côté de la communauté, les réactions sont mitigées. En effet, les commentaires faisant suite à la proposition sont majoritairement contre celle-ci et le hacker :
« Vous êtes dégoûtant. Ce que vous avez fait est mauvais dans tous les sens du terme. La chose responsable à faire aurait été de divulguer la vulnérabilité à l’équipe, PAS DE L’EXPLOITER. J’espère que la communauté des forces de l’ordre vous montrera ZERO PITIÉ. Vous avez encore la possibilité d’arranger les choses. Rendez les fonds et disparaissez, ou risquez (avec plus de 90 % de certitude) de passer de très nombreuses années en prison. Le karma vous trouvera. Il le fait toujours. »
Cependant, au niveau des votes, cette réaction ne se retrouve pas. En effet, le vote n’a réuni que très peu de « contre » et comptabilise, pour le moment, une majorité de « sans avis ». De son côté, le vote « pour » est encore à quelques points d’atteindre la limite d’acceptation minimale fixée à 2 % des votes.
Dans certains cas, le hacker est plus compréhensif. Par exemple, le protocole Transit Finance a réussi à trouver un accord avec son hacker pour que celui-ci restitue l’intégralité des fonds.
Profitez des opportunités d’achat de cryptos à bas coût que nous offre le marché ! Et pour sécuriser vos actifs, investissez dans une clé Ledger, leader mondial des wallets personnels. Pour préserver votre pouvoir d’achat, les frais de port c’est cadeau (lien commercial).