Solana : rebondissement dans le hack de Mango Markets
Rebondissement sur Mango Markets – Mango Markets est une plateforme d’échange décentralisé et de lending sur Solana. Le 12 octobre, celle-ci a été la cible d’une attaque entraînant la perte de 100 millions de dollars. Désormais, les équipes tentent tant bien que mal de négocier avec l’attaquant.
>> Sécurisez vos cryptos sur un portefeuille Ledger. Frais de port offerts (lien commercial) <<
Hack Mango Markets : 100 millions $ envolés
Le 12 octobre dernier, les équipes de OtterSec ont alerté d’une attaque sur le protocole Mango Markets. En effet, un attaquant a réussi à déceler une faille et exploiter le protocole. Au total, ce dernier a réussi à siphonner 112 millions de dollars dans les pools du protocole.
Techniquement, cette faille entre dans la catégorie des attaques par manipulation d’oracle. Dans ce type d’attaque, le hacker va obtenir des jetons MNGO avant de faire augmenter son prix artificiellement en manipulant la source d’oracle du protocole. Une fois le prix gonflé à bloc, l’attaquant dépose ses MNGO en tant que collatéral pour emprunter d’autres cryptos.
Cependant, le montant qui a été emprunté est bien supérieur au montant qui aurait pu être emprunté. Par conséquent, l’attaquant laisse le protocole avec une dette insolvable.
Quelque temps après les faits, l’attaquant a refait parlé de lui, mais pas pour les bonnes raisons. En effet, celui-ci a entrepris de trouver un arrangement avec le protocole. Un arrangement qui prend plutôt la forme d’un ultimatum.
Ainsi, celui-ci a publié une proposition via le module de gouvernance du protocole Mango Markets. Cette proposition comporte deux grands axes :
- La conservation de 70 millions de dollars de bug bounty ;
- L’utilisation de la trésorerie du protocole pour essuyer la dette insolvable créé.
En d’autres termes, un arrangement qui n’arrange que l’attaquant, mais pas le protocole et ses utilisateurs.
Le plus clownesque dans cette histoire réside dans le fait que l’attaquant a voté en faveur de sa propre proposition en utilisant les fonds dérobés.
Cette proposition est toujours en cours, mais n’aboutira probablement pas, car elle comptabilise 87% de « Contre » pour seulement 12,5% de « Pour ».
Rebondissement dans l’affaire
Alors que sa proposition est loin de faire l’unanimité, une nouvelle proposition, qui n’émane cette fois-ci pas de l’attaquant, a été publiée.
Celle-ci est moins tendre avec ce dernier. Dans un premier temps, la proposition fait la liste de l’ensemble des actifs et quantités que l’attaquant a accepté de retourner. À savoir :
Actif | Montant |
mSOL | 799 155 |
SOL | 761 577 |
BTC | 281,498 |
SRM | 2 354 260 |
ETH | 226 |
FTT | 11 774 |
BNB | 608 |
GMT | 152 843 |
RAY | 98 295 |
AVAX | 1 809 |
MNGO | 32 409 565 |
USDC | 10 000 000 |
Par la suite, la proposition donne 12 heures au hacker pour restituer une partie des fonds. La seconde partie serait rendue après le passage de la proposition.
« Dans les 12 heures suivant l’ouverture de la proposition, vous devez renvoyer les actifs autres que USDC, MSOL, MNGO et SOL en signe de bonne foi. Les actifs restants seront envoyés dans les 12 heures une fois le vote terminé et adopté. »
En parallèle, la proposition explique que les fonds renvoyés ainsi que la trésorerie du protocole seront utilisés pour recouvrir la dette insolvable.
« Tous les déposants de mango seront remboursés. En votant pour cette proposition, les détenteurs de jetons mango acceptent de payer la créance irrécouvrable avec le trésor, et renoncent à toute réclamation potentielle contre les comptes avec créance irrécouvrable, et ne poursuivront aucune enquête criminelle ou gel de fonds une fois que les jetons seront renvoyés comme décrit ci-dessus. »
Bien que l’attaquant puisse conserver une prime de bug, celle-ci reste bien loin des 70 millions de dollars initialement demandés par l’attaquant.
Vous souhaitez garder vos cryptomonnaies à l’abri plutôt que de les dépenser ? Choix judicieux, le marché est propice à l’accumulation ! Sécurisez vos actifs grâce à une clé Ledger. Cerise sur le gâteau, les frais de port sont offerts (lien commercial).