Mango 被盗 1 亿美元背后：一场利用闪电贷和 DAO 治理的双重攻击

作者：flowie，链捕手

今晨，Solana生态DeFi项目Mango被盗约1亿美元，也是Solana生态历史上最大的安全事故之一。与多数DeFi攻击事件类似，这次事故通过闪电贷攻击进行的，黑客通过操作预言机价格将该协议流动性几乎全部耗尽，不过很快该事件走向了更加戏剧化与复杂的局面，黑客在Mango治理平台发起链上提案，被认为再度向该项目发起治理攻击。

Mango是谁？

据悉，Mango是一个去中心化交易和借贷协议，允许用户在Solana上交易以获得现货保证金和交易永续期货，并由MangoDAO管理。

Mango被攻击前的TVL为1.04亿美元，是Solana生态中TVL第六大的DeFi项目。此外，Mango还受到了Multicoin的大力支持。去年9月，MulticoinCapitaln合伙人SpencerApplebaum表示购买了近1000万美元MNGO代币。

亿万富翁投资者Bill Ackman：不会投资于比特币:金色财经报道，美国亿万富翁投资者、对冲基金经理Bill Ackman表示，他不会投资于比特币，因为比特币纯粹是投机性的。Ackman称，他正在扩展自己对加密的知识，因为这是一种有趣的现象，但并未投资任何加密货币。此外，他认为加密货币将继续存在。[2021/5/28 22:50:49]

闪电贷攻击

关于黑客套利1亿美元的过程，GenesisGlobalTrading衍生品主管JoshuaLim在推特上做了详细分析。

具体来说，黑客有两个账号A和B，每个账号有500万的USDC。通过账号A的500万USDC作为抵押，黑客在MangoMarkets订单簿上铸造了4.83亿份MNGO永续合约。并很快用账户B的500万USDC，以每份0.03美元的价格购买了这4.83亿份MNGO永续合约。

个人理财专家Suze Orman：我喜欢比特币:美国个人理财专家Suze Orman在接受采访时称自己喜欢比特币。她每月都会就如何投资比特币提供一些建议，并指出她更喜欢通过支付巨头PayPal的加密服务购买比特币，因为这很便捷。Orman称：“我喜欢比特币本身，而且有很多公司在投资它。但我不喜欢比特币作为一种货币或者用比特币去买东西。我喜欢它作为一种可能取代黄金的投资。”

Orman进一步透露：“我个人通过Microstrategy涉足投资比特币。去年6月，我以每股125美元左右的价格买入了Microstrategy股票。”自去年8月以来，Microstrategy一直在购买比特币。截至3月5日，该公司持有约91064枚比特币。Orman随后给出了一些关于加密货币投资的建议，并对投资比特币的风险提出了警告。（Bitcoin.com）[2021/3/7 18:22:10]

随后黑客开始操纵Mango现货市场价格，将MNGO价格从0.03美元推高至0.91美元，4.83亿份MNGO的价值便达到了4.23亿美元。黑客又利用账号B的MNGO作为抵押品，借出1.16亿美元的贷款，此时Mango的流动性被耗尽，USDC、MSOL、SOL、BTC、USDT、SRM和MNGO等资产均被抽空，黑客获利1亿美元。

海外跨链DeFi项目MANTRA DAO被评选为Polkadot生态热门新项目之一:据CRYPTO NEWS FLASH披露，在海外跨链DeFi项目MANTRA DAO被评选为Polkadot上4个热门新项目之一。

MANTRA DAO是基于RioDeFi开发的一款去中心化应用。目前已经上线11家交易所，上线2周左右持币账户已经超过10,000。MANTRA DAO更专注于跨链资产的质押、借贷和资产配资的新金融理念，力求打通传统金融和去中心化的区块链体系，将金融控制权回归于用户，让所有用户都可以做到各取所需。[2020/9/8]

DAO治理操纵

原本只是一场常见的闪电贷攻击，但出乎意料的是，或许是为让自己免于刑事调查或资产冻结，黑客再次现身发起了DAO治理攻击。对于被盗走的1亿美元，黑客发起提案要求有国库来偿还用户损失，并用盗取的大量治理代币操控投票，让支持率近乎100%。

声音 | Adamant Capital创始合伙人：Tether增发往往恰逢新美元进入交易所:据ambcrypto报道，7月1日，随着比特币和大多数加密货币的价格大幅下跌，Tether Treasury增发了新的1亿枚USDT。一些分析师和加密支持者推测，由于快速增发的Tether，比特币的价格正在回升。同时，据CoinMarketCap数据， 前14大交易所中通过BTC / USDT交易对交易的BTC最多。此外，6月共增发了6亿枚USDT，而比特币的价格从8000美元上涨到超过了11000美元。对此，Adamant Capital创始合伙人Tuur Demeester发推文称，他认为新增发的Tether只是反映了进入比特币交易所生态系统的新资金。 99％的情况下，当Tether供应增加时，恰逢新的美元进入比特币交易所。[2019/7/3]

这项提案的具体内容是，希望使用Mango国库中约7000万枚USDC偿还坏账，如果此提案在3天后的投票中被通过，黑客将把账户中MSOL、SOL和MNGO转入Mango团队发布的地址。

黑客表示：“协议中剩余的全部坏账将由Mango国库偿还，没有坏账的用户将不受影响。任何坏账都将被视为漏洞赏金/保险，由Mango保险基金支付。如果MangoToken持有者通过对该提案的投票，就表示同意支付这笔奖金并用国库偿还坏账，并放弃对坏账账户的任何潜在索赔，一旦Token按上述规则被偿还，将不会进行任何刑事调查或冻结资产。”

值得一提的是，诸如此类的DAO治理攻击也已屡见不鲜。去年稳定币协议Beanstalk的攻击者也是通过闪电贷获得了一笔贷款，获取到足够数量的Beanstalk治理代币后，立即通过了一项恶意提案，控制了Beanstalk的1.82亿美元储备资金。

此外，跨链稳定币项目TrueSeigniorageDollar、BSC借贷协议Venus、合成资产协议Mirror均遭受到了不同程度的治理攻击。

DAO治理攻击纯粹是“协议内”攻击，几乎无法通过密码学手段解决。对于频发的治理攻击，DAO可能需要真的需要思考，如何利用机制设计来预防和避免。

影响与回应

目前攻击事件还在发酵，受?Mango攻击事件影响的协议陆续在发声。Solana生态算法稳定币协议UXDProtocol表示，其受Mango攻击事件影响的资金总额已达近2000万美元。UXDProtocol已暂停UXD铸造以达到风险最小化，一旦确认MangoMarkets的问题得到解决，将重新启用铸币功能。

而?Solana生态收益聚合器TulipProtocol约250万美元资金收到该事件影响，并表示其在Mango攻击事件中的敞口仅限于USDC/RAY策略资金库的一部分，即2,465,841.497167USDC和66,721.925355RAY。此外TulipProtocol暂时禁用策略库的提款，并称有足够的资金来支持必要时的损失。

对于此次攻击事件，Mango目前的回应和措施是，调查事件原因，并冻结第三方流动资金作为预防措施。此外Mango将在前端禁用存款，表示可邮箱联系讨论资金返还的赏金；同时提醒用户不要存入Mango，鼓励黑客主动联系“讨论漏洞奖励”。

而对于与此攻击事件有关的各方，据Mangao官方推特称已在MangoDAO进行沟通，并表示愿意进行谈判。MangoDAO接下来的优先事项是：1、防止进一步不必要损失。2、确保Mango协议的存款人是完整的。3、尝试挽救MangoDAO协议的一些价值，并且重建。

目前MNGO的价格急剧下跌。截至发稿时，该资产的交易价格为0.02297美元，日跌幅为43.23%。

标签：MANMANGO比特币DAOUnmanned Aerial Vehicle Coinmango币是什么东西十几年前用QQ买过比特币OpenDAO

以太坊价格今日行情热门资讯