La plate-forme DeFi Mango Markets touchée par un hack potentiel de 100 millions de dollars.
L’agence de sécurité Blockchain OtterSec a tweeté le mercredi 12 octobre 2022 que Mango, une plate-forme DeFi basée sur la blockchain Solana, avait été hackée pour plus de 100 millions de dollars de perte. Le secteur crypto est sous le feu de pas mal d’attaques en ce moment.
Ce qu’il s’est passé…
Le trader pirate aurait profité d’un manque de liquidités en manipulant le prix de MNGO sur l’exchange décentralisé (DEX), Mango.
Mango Markets est un exchange décentralisé (DEX) sur la blockchain Solana qui offre aux traders un effet de levier jusqu’à 20x sur les paires de trading populaires. Les transactions sont rapides, bon marché et “permissionless”. L’expérience globale est fluide, grâce à une multitude de fonctionnalités qui rendent Mango Markets unique.
Comme les autres DEX sur Solana, Mango Markets a l’avantage unique d’offrir un carnet de commandes “on-chain”, dans le style d’un exchange centralisé, sans souffrir des coûts élevés et de la latence du passage d’ordres qui affectaient précédents les DEX avant l’introduction du modèle AMM. Le modèle DEX “on-chain” est rendu possible grâce aux transactions extrêmement rapides et bon marché de la blockchain Solana.
Mango Markets propose une sélection plutôt restreinte mais bien organisée de paires de trading au comptant. Cela inclut les actifs de l’écosystème Solana tels que SOL, RAY, SRM, COPE et MNGO ainsi que les versions “wrapped” de BTC, ETH, LUNA, AVAX, FTT et BNB. La plupart de ces paires sont également disponibles pour être négociées sur le marché à terme (futures market).
MNGO chute de 52,05% et entraine…
Le prix de MNGO $ a chuté de 52,05 % au cours des dernières 24 heures, s’échangeant à 0,019 $ dans la journée du 11 octobre, puis remontant à 0,028 à la mi-journée le 12 octobre.
Consécutivement, selon Defillama.com, la TVL de Solana a chuté de 23% ces dernières 24H.
Lisez notre article sur la TVL (Total Value Locked) ou valeur totale verrouillée.
Un retrait de plus de 100 millions de dollars
La société de sécurité Blockchain OtterSec a écrit que le trader pirate avait manipulé le “collateral” (garantie) de Mango, ce qui lui a permis de contracter des emprunts massifs auprès de la trésorerie de l’exchange.
Mango Markets a déclaré de son côté que le pirate informatique avait manipulé la valeur de MNGO en prenant une position démesurée grâce à 2 comptes en USDC dans MNGO-PERP et en se contre-échangeant le contrat d’un compte à un autre. Cela a conduit à la hausse de la valeur de MNGO en USD sur divers exchanges.
Les oracles de prix Switchboard et Pyth ont augmenté le prix de référence de MNGO sur cette base, permettant ainsi au pirate de retirer 100 millions de dollars d’actifs, soit toute la liquidité du protocole.
Les oracles sont des dispositifs qui permettent d’intégrer des informations au sein d’une blockchain à partir de sources externes. Le principe fonctionne le plus souvent dans le cadre de contrats dits “intelligents”.
Dès mercredi matin, les développeurs de Mango ont annoncé qu’ils avaient investigué et qu’ils décidaient de blâmer le fournisseur d’oracle Pyth pour une défaillance.
Mais il semblerait en fait que l’exchange Mango n’ait pas été piraté, il a en fait fonctionné exactement comme prévu, et un trader avisé, bien qu’avec des intentions néfastes, ait réussi à en extraire les liquidités.
Au total, le « trader voyou » a utilisé plus de 10 millions en USDC pour retirer 116 millions de dollars de Mango en se servant à son avantage des paramètres de conception de la plate-forme, et le tout en payant des frais minimes pour mener l’attaque.
L’équipe de Mango Markets a ensuite déclaré quant à elle que son objectif principal était d’éviter de nouvelles pertes, de s’assurer que les déposants soient indemnisés et de récupérer une certaine valeur dans le protocole. La plate-forme a également été gelée momentanément pour empêcher de nouveaux dépôts.
Il est important de noter que la stratégie de manipulation révélée ci-dessus ne fonctionnerait pas sur des exchanges centralisés, car un trader plaçant des offres élevées sur une plateforme impliquerait une augmentation automatique des prix sur cet exchange et les autres exchanges centralisés augmenteraient immédiatement par conséquent le prix des actifs sur leurs propres systèmes. Ce qui signifie que la stratégie est peu susceptible de générer des bénéfices si elle devait être appliquée depuis un CEX (Centralized Exchange).