Solana : rebondissement dans le hack de Mango Markets

Rebondissement sur Mango Markets – Mango Markets est une plateforme d’échange décentralisé et de lending sur Solana. Le 12 octobre, celle-ci a été la cible d’une attaque entraînant la perte de 100 millions de dollars. Désormais, les équipes tentent tant bien que mal de négocier avec l’attaquant. 

>> Sécurisez vos cryptos sur un portefeuille Ledger. Frais de port offerts (lien commercial) <<

Hack Mango Markets : 100 millions $ envolés

Le 12 octobre dernier, les équipes de OtterSec ont alerté d’une attaque sur le protocole Mango Markets. En effet, un attaquant a réussi à déceler une faille et exploiter le protocole. Au total, ce dernier a réussi à siphonner 112 millions de dollars dans les pools du protocole

Techniquement, cette faille entre dans la catégorie des attaques par manipulation d’oracle. Dans ce type d’attaque, le hacker va obtenir des jetons MNGO avant de faire augmenter son prix artificiellement en manipulant la source d’oracle du protocole. Une fois le prix gonflé à bloc, l’attaquant dépose ses MNGO en tant que collatéral pour emprunter d’autres cryptos. 

Cependant, le montant qui a été emprunté est bien supérieur au montant qui aurait pu être emprunté. Par conséquent, l’attaquant laisse le protocole avec une dette insolvable. 

Quelque temps après les faits, l’attaquant a refait parlé de lui, mais pas pour les bonnes raisons. En effet, celui-ci a entrepris de trouver un arrangement avec le protocole. Un arrangement qui prend plutôt la forme d’un ultimatum. 

Ainsi, celui-ci a publié une proposition via le module de gouvernance du protocole Mango Markets. Cette proposition comporte deux grands axes : 

  • La conservation de 70 millions de dollars de bug bounty
  • L’utilisation de la trésorerie du protocole pour essuyer la dette insolvable créé.

En d’autres termes, un arrangement qui n’arrange que l’attaquant, mais pas le protocole et ses utilisateurs. 

Le plus clownesque dans cette histoire réside dans le fait que l’attaquant a voté en faveur de sa propre proposition en utilisant les fonds dérobés. 

Cette proposition est toujours en cours, mais n’aboutira probablement pas, car elle comptabilise 87% de « Contre » pour seulement 12,5% de « Pour ».

Résultats actuels du vote sur Mango Markets.
Résultats actuels du vote sur Mango Markets.

Rebondissement dans l’affaire

Alors que sa proposition est loin de faire l’unanimité, une nouvelle proposition, qui n’émane cette fois-ci pas de l’attaquant, a été publiée.

Celle-ci est moins tendre avec ce dernier. Dans un premier temps, la proposition fait la liste de l’ensemble des actifs et quantités que l’attaquant a accepté de retourner. À savoir : 

ActifMontant
mSOL799 155
SOL761 577
BTC281,498
SRM2 354 260
ETH226
FTT11 774
BNB608
GMT152 843
RAY98 295
AVAX1 809
MNGO32 409 565
USDC10 000 000

Par la suite, la proposition donne 12 heures au hacker pour restituer une partie des fonds. La seconde partie serait rendue après le passage de la proposition. 

« Dans les 12 heures suivant l’ouverture de la proposition, vous devez renvoyer les actifs autres que USDC, MSOL, MNGO et SOL en signe de bonne foi. Les actifs restants seront envoyés dans les 12 heures une fois le vote terminé et adopté. »

En parallèle, la proposition explique que les fonds renvoyés ainsi que la trésorerie du protocole seront utilisés pour recouvrir la dette insolvable. 

« Tous les déposants de mango seront remboursés. En votant pour cette proposition, les détenteurs de jetons mango acceptent de payer la créance irrécouvrable avec le trésor, et renoncent à toute réclamation potentielle contre les comptes avec créance irrécouvrable, et ne poursuivront aucune enquête criminelle ou gel de fonds une fois que les jetons seront renvoyés comme décrit ci-dessus. »

Bien que l’attaquant puisse conserver une prime de bug, celle-ci reste bien loin des 70 millions de dollars initialement demandés par l’attaquant

Vous souhaitez garder vos cryptomonnaies à l’abri plutôt que de les dépenser ? Choix judicieux, le marché est propice à l’accumulation ! Sécurisez vos actifs grâce à une clé Ledger. Cerise sur le gâteau, les frais de port sont offerts (lien commercial).

Renaud H.

Ingénieur en software et en systèmes distribués de formation, passionné de cryptos depuis 2013. Touche à tout, entre mining et développement, je cherche toujours à en apprendre plus sur l’univers des cryptomonnaies et à partager le fruit de mes recherches à travers mes articles.