Los piratas informáticos parecen haber utilizado una táctica de «manipulación de precios del oráculo» en el exploit de la red DeFi basada en Solana, como etiquetado con un tweet enviado por la cuenta oficial para el intercambio de criptomonedas Mango.

A mediados de octubre, los comerciantes explotaron una vulnerabilidad en la plataforma comercial de finanzas descentralizadas (DeFi) Mango Markets y robaron más de $ 110 millones en criptomonedas fuera de línea.

Otro hilo en Twitter previsto un desglose detallado de cómo ocurrió el incidente. El atacante comenzó su misión financiando una cuenta en el sitio con USD Coin (USDC) por $5 millones, que se utilizaron para comprar 483 unidades de contratos perpetuos en el token Mango (MNGO), la criptomoneda nativa de la plataforma.

El atacante usó esta técnica para aumentar el precio de MNGO de $0,03 a $0,91, aumentando el valor de sus tenencias de MNGO a $423 millones.

Luego, los fondos se utilizaron para obtener un préstamo de $ 116 millones utilizando varios tokens en la plataforma, como Bitcoin (BTC), Solana (SOL) y Serum (SRM). Desafortunadamente, el préstamo eliminó toda la liquidez en Mango Markets, lo que provocó que el precio de MNGO cayera en picado a $ 0.02.

Posteriormente, el equipo de desarrollo de Mango Markets dijo que están investigando lo que sucedió y que iniciaron una investigación al respecto. El protocolo puso la noticia a disposición de sus usuarios en sus diversos medios de comunicación social, diciendo que suspendió temporalmente los depósitos mientras realiza más investigaciones. El equipo también informa a los usuarios que deben abstenerse de depositar dinero en el sitio antes de desactivar la posibilidad de hacerlo.

Cómo se explotó Mango Markets

El atacante pudo manipular el precio del token MNGO, aumentándolo 30 veces en tan poco tiempo, mediante la celebración de enormes contratos permanentes. Un atacante puede hacer esto aprovechando la liquidez limitada del mercado para inflar artificialmente el precio del token al colocar órdenes de compra enormes para aumentar el precio y luego usar nuevos inversores como liquidez de salida para retirar dinero. Esta es la misma estrategia utilizada en las estafas de bomba y descarga.

LEER  Los NFT aún tienen "gran demanda" a medida que los comerciantes únicos crecen un 18% en octubre: DappRadar

Reciente: «DeFi reemplazará a las instituciones por completo», dice el CEO de BitGo, Mike Belshi

Sin embargo, este tipo de exploit es difícil de realizar cuando hay una gran cantidad de liquidez, ya que la cantidad de efectivo necesaria para manipular el precio sería mucho mayor. Dado que los tokens nuevos o relativamente desconocidos a menudo tienen una liquidez extremadamente baja, los esquemas de bombeo y descarga son más comunes con dichos tokens.

Mango Markets habría podido protegerse de este exploit si hubiera tenido suficiente liquidez. El uso de un creador de mercado automatizado (AMM) es una estrategia que Mango Markets puede haber utilizado para aumentar el nivel de liquidez. Los creadores de mercado automatizados son programas informáticos que determinan el precio de un token recopilando liquidez de los usuarios y utilizando varias fórmulas matemáticas.

Ben Roth, cofundador y director de información de Auros, una empresa algorítmica de creación de mercado, le dijo a Cointelegraph:

“El comportamiento comercial adverso es un subproducto de las condiciones de mercado ilíquidas. Por lo tanto, cuando los ‘malos actores’ pueden construir un vector de ataque que tiene un alto grado de seguridad debido a la baja liquidez, aumenta el incentivo para emprender este tipo de ‘hazañas'».

«Cuando se trabaja con un creador de mercado algorítmico, los emisores de tokens desincentivan este comportamiento adverso y generan confianza en la consistencia de la liquidez durante las condiciones variables del mercado», agregó.

Los grandes tenedores de tokens, también conocidos como proveedores de liquidez (LP), son responsables de la operación del AMM. Los LP son responsables de ingresar cantidades iguales de pares de tokens (como MNGO/USDC) en los grupos. Esto permite que los intercambios descentralizados exporten su liquidez al tiempo que proporciona a los LP una compensación en forma de una parte de las tarifas comerciales recaudadas en la plataforma.

LEER  La cadena BNB impulsará las nuevas empresas europeas de Web3 con el programa de incubadora DApp

Después de la explotación

Un día después del exploit de Mango Markets, el perpetrador hizo una oferta a través del Organismo Autónomo Descentralizado (DAO) que formaba parte de la plataforma. El atacante le ofreció a Mango DAO pagar todas las deudas pendientes con su tesorería de $70 millones en lugar de usar los fondos del atacante.

El acuerdo establece que el equipo de Mango DAO debe usar fondos de su tesorería para compensar cualquier obligación financiera pendiente. Luego, el ciberdelincuente enviará los tokens robados a una dirección proporcionada por el grupo responsable de Mango DAO.

Al votar con millones de tokens tomados durante el exploit, el hacker parece apoyar esta idea, que es otro tipo de manipulación. Además, el autor del hecho solicitó que no se inicie un proceso penal en su contra si se aprueba la petición.

Al final, la comunidad de Mango Markets acordó permitir que el atacante se quedara con una gran parte de los tokens como «recompensa por errores». Los términos son parte de un acuerdo que exige la devolución de $ 67 millones en tokens robados, y el atacante se queda con los $ 47 millones restantes de los $ 117 millones tomados.

El acuerdo se alcanzó mediante la votación en Mango DAO, con el 98% de los votantes (o 291 millones de tokens) votando a favor. La moción incluía que Mango Markets no presentara cargos legales contra el pirata informático.

El atacante revela su identidad

El atacante detrás del exploit más tarde se adelantó para revelar su identidad. abraham eisenberg Anunciado en Twitter que estaba «involucrado en un equipo que ejecutó una estrategia comercial extremadamente rentable la semana pasada», es decir. los responsables del ataque de 100 millones de dólares a Mango Markets.

Eisenberg continuó diciendo: «Creo que todas nuestras acciones fueron acciones legales en el mercado abierto utilizando el protocolo tal como fue diseñado, incluso si el equipo de desarrollo no previó por completo todas las consecuencias de establecer los parámetros de la forma en que están».

LEER  Fugitivos de Finiko sospechosos de mover 750 BTC de la billetera Crypto Pyramid

Señaló que, como resultado de la hazaña, Mango Markets quebró y también dijo que el dinero del seguro no fue suficiente para pagar todas las liquidaciones que ocurrieron. Debido a esto, se perdieron más de cien millones de dólares en dinero de los consumidores.

Sin embargo, Eisenberg afirma que «ayudó a negociar un acuerdo de conciliación con el fondo de seguros» para que todos los consumidores volvieran a estar saludables mientras recapitalizaba el intercambio. Eisenberg finalizó su hilo de Twitter diciendo: «Como resultado de este acuerdo, una vez que el equipo de Mango haya completado el procesamiento, todos los usuarios podrán obtener acceso completo a sus depósitos sin perder fondos».

Eisenberg continúa manteniendo que sus acciones fueron legales, similares al desapalancamiento automático de los intercambios de criptomonedas. El desapalancamiento automático es un proceso en el que los intercambios utilizan una parte de las ganancias obtenidas por los comerciantes exitosos para cubrir las pérdidas debidas a otros comerciantes que han sido liquidados.

Sin embargo, Michael Bacina, socio del bufete de abogados australiano Piper Alderman, le dijo anteriormente a Cointelegraph: «Si esto hubiera sucedido en un mercado financiero regulado, probablemente se habría visto como una manipulación del mercado».

Reciente: ¿Pueden las interrupciones de Internet realmente interrumpir las redes criptográficas?

Si bien, teóricamente, los consumidores aún podrían emprender acciones legales contra Eisenberg, Bacina dijo que no era comercialmente viable y afirmó:

«Suponiendo que los reclamos sobrevivan a la propuesta, cualquier reclamo tendría que reducirse por los montos recibidos por un miembro como resultado de la propuesta, lo que puede significar que muchos miembros tienen un incentivo comercial limitado para demandar al Sr. Eisenberg».

En el futuro, será interesante ver cómo los protocolos DeFi pueden proteger mejor sus protocolos, ya sea con AMM para detener este tipo de exploits en primer lugar, o mediante acciones legales posteriores.