CertiK首發：Mango market遭受攻擊，損失1.16億美元-ODAILY_CER

北京時間2022年10月11日6:19，CertiKSkynet天網監測到Mangomarket遭到黑客攻擊，截至目前已損失1.16億美元。攻擊者操縱MNGO代幣的價格，并惡意借貸超出應有數額的資產。

攻擊步驟

①在此交易中，攻擊者向第一個帳戶提供了500萬枚USDC。

HyperGraph 挖礦和通證合約通過CertiK審計:據官方消息，HyperGraph 挖礦和通證合約日前通過了CertiK的審計，CertiK 對HyperGraph合約進行了審計，并就相關邏輯與開發團隊進行了反復討論和確認溝通。CertiK的報告也就某些邏輯的開發提出了很好的意見和改進建議，這對于團隊后續的智能合約開發很有幫助。[2021/5/26 22:47:04]

②攻擊者在訂單簿中提供了4.83億單位的MNGOperps。

去中心化交易所Balancer通過BAL流動性挖礦治理提案:Balancer協議于北京時間今日凌晨通過社區治理投票，再次修改其流動性挖礦獎金分配方案。Balancer以治理BAL為獎勵為流動性提供者每周發放獎勵。在新通過的提案中，每周14.5萬的BAL獎金（約合350萬美金）中將會有4.5萬（約合108萬美金）分發給BAL其它代幣交易對的流動性提供者。該提案被認為更偏向于以BAL為基礎的流動性池。[2020/8/25]

去中心化組織PieDAO發布USD++ Balancer池:在Balancer協議上構建多樣化代幣池的去中心化組織PieDAO在周二宣布主網發布USD++池。該池將幾個與美元掛鉤的頂級穩定幣組合成一個可交易的代幣。USD++池將包含DAI、sUSD、TUSD和USDC。USDC將占USD++池的47%以上，而sUSD權重最低，不到4%。

加權策略旨在為中長期持有者創造低波動性和信任最小化。（Decrypt）[2020/6/18]

③之后攻擊者向第二個賬戶注資。

④然后以每單位0.0382美元的價格做多了4.83億單位的MNGOperps。

⑤攻擊者通過操縱價格預言機上MNGO的價格，將其拉高到0.91美元，從而在第二個賬戶上獲利。

⑥由于MNGO/美元的價格為每單位0.91美元，第二個賬戶能夠在Mangomarket上借用其他代幣。攻擊者還用第二個賬戶中的資金在Mangomarket上借入其他代幣。

⑦上述借款行為使第一個帳戶的壞賬總額為11,306,771.61美元，造成了115,182,674.43美元的資產損失。

除此之外，攻擊者已提交將代幣發回的建議：

https://dao.mango.markets/dao/MNGO/proposal/3WZ5DpZXDvNAK4JwPS1HDPzSinEJUGpBC4XXx9vPtnVS

漏洞分析

攻擊者操縱了價格預言機中Mango代幣的價格。

例如其中一個價格預言機Switchboard使用的是FTX和Raydium提供的價格。Raydium(https://solscan.io/account/34tFULR...)的流動性極低，易于操作。

寫在最后

攻擊發生后，CertiK的推特預警賬號以及官方預警系統已于第一時間發布了消息。同時，CertiK也會在未來持續于官方公眾號發布與項目預警相關的信息。

Tags：CERUSDBALCERTGoCerberusFLUSD幣minifootball幣燃燒嗎certik幣價

以太坊最新價格