DAO:黑客Mango上億資金后又試圖“免罪”

盜取Mango上億資金后，黑客發起DAO提案試圖“免罪”

北京時間今天清晨，Solana生態去中心化交易平臺Mango遭遇黑客攻擊，損失高達1.15億美元。

Mango官方隨后發推文稱正在采取措施應對，并希望黑客能主動聯系商量還款事宜：“我們正在采取措施讓第三方凍結流動資金。作為預防措施，我們將在前端禁用存款，并將隨著情況的發展提供最新信息。”

Solana生態算法穩定幣協議UXDProtocol表示，在Mango攻擊事件中受影響資金總額近2000萬美元，同時稱其保險基金足以彌補損失。

IRA Financial的加密退休賬戶上周被黑客攻擊，損失高達3600萬美元:2月15日消息，據彭博社援引知情人士報道，美國南達科他州提供自主退休賬戶的IRA FinancialTrust上周遭到黑客攻擊，導致3600萬美元的加密貨幣被盜。IRA FinancialTrust在2月8日的聲明中表示，發現“可疑活動影響了我們在Gemini加密貨幣交易所擁有賬戶的有限客戶群。發現后，我們立即展開調查，并聯系了州和聯邦執法部門。”同一天，身份不明的黑客從IRAFinancialTrust的賬戶中提取了2100萬美元的比特幣和1500萬美元的以太坊。區塊鏈分析公司Chainalysis表示，它正在追蹤從IRA客戶那里竊取的價值3600萬美元的加密貨幣，并表示被盜資金正通過Tornado的“混合器”服務對其進行清洗。Tornado的代表沒有立即回應置評請求。[2022/2/15 9:52:15]

與以往攻擊事件的劇情走向不同，這次的黑客“戲癮很足”，其在realms上發布了一項新的治理提案：希望Mango官方使用國庫資金償還用戶壞賬；如果官方同意，黑客將返還部分被盜資金，同時希望免受刑事調查或凍結資產。有加密愛好者評論稱，Mango黑客算是將DeFi與DAO玩得明白。

直布羅陀財政部加入Post-COVID DLT黑客馬拉松活動:直布羅陀財政部（Gibraltar Finance）宣布與即將舉行的Post-COVID黑客馬拉松活動達成合作。這是一項全球在線倡議，旨在創建解決后COVID -19時代帶來的衛生、社會和經濟挑戰的開源解決方案。此次活動預計將有數百個DLT領域的國際團隊參與，200多名行業專家將協助參與者。（Cointelegraph）[2020/7/23]

截至目前，該提案獲得3290萬投票贊成，其中3241萬票由黑客自己所投，距離通過門檻還有一半的距離。

操縱MNGO價格進行攻擊

結合加密研究員@JoshuaLim以及@Mango官方的事故報告，我們將本次攻擊過程進行還原，大致如下：

黑客首先向Mango交易所A、B地址分別轉入500萬美元，兩個地址分別是：

推特黑客使用的比特幣錢包曾與Coinbase和BitPay交互:金色財經報道，區塊鏈情報初創公司Whitestream表示，昨日推特被黑后黑客收到的資金目前正在整合至黑客的“1Ai5”比特幣地址，該地址過去曾與Coinbase和BitPay這兩家提供商業解決方案的加密貨幣公司進行過交互。目前已有14.75枚比特幣已被轉移到“1Ai5”地址，該地址過去曾與Coinbase和BitPay進行過三次交易。第一次也是最大的一次是在2020年5月，當時該地址將1.2 BTC移至了BitPay地址。其他兩次交易轉至了與Coinbase相關的地址，金額較小。發送到Coinbase的交易更難跟蹤，因為每次輸入都會改變地址。由于與這些公司交互過，黑客的身份可能能夠被曝光。安全專家警告說，此次推特賬號被黑可能涵蓋了“其他惡意活動”。例如，如果黑客竊取了推特用戶的數據，則可以在暗網上出售這些數據。[2020/7/17]

A：CQvKSNnYtPTZfQRQ5jkHq8q2swJyRsdQLcFcj3EmKFfX；

動態 | 加拿大斯特拉特福市透露曾為4月的黑客攻擊事件支付10枚比特幣:今年4月14日，加拿大安大略省斯特拉特福市的市政廳網站遭到黑客攻擊，攻擊者在六個物理服務器和兩個虛擬服務器上安裝了惡意軟件。在與攻擊者談判后，該政府網站于4月29日恢復正常。根據該市網站9月19日發布的最新信息，該市當時向攻擊者支付了10枚比特幣，當時價值超過75000美元，以換取解鎖其信息系統的解密密鑰。該市表示已加強其安全措施，以防止再次發生攻擊事件。斯特拉特福和安大略省正在進一步調查此事。（bitcoinsit）[2019/9/21]

B：4ND8FVPjUGGjx9VuGFuJefDWpg3THb58c277hbVRnjNa；

而后，黑客通過A地址在Mango上利用MNGO永續合約做空平臺幣MNGO，開倉價格0.0382美元，空單頭寸4.83億個；與此同時，黑客在B地址上做多MNGO，開倉價格0.0382美元，多單頭寸4.83億個。

動態 | 比特幣強盜被引渡到加州面臨黑客指控:據coincryptorama報道，比特幣盜竊犯尼古拉斯·特魯格利亞(Nicholas Truglia)周四被引渡到加州，他被控侵入硅谷大亨的電話，試圖竊取他們的加密貨幣。據圣克拉拉高等法院記錄，這名電腦神童涉嫌從舊金山兩個孩子的父親羅伯特·羅斯那里偷了100萬美元。[2018/12/14]

在完成初步建倉后，黑客轉身攻擊多個平臺上MNGO的現貨價格，致使價格出現5-10倍的增長，該價格通過Pyth預言機傳遞到其中Mango交易所，進一步推動價格上漲，最終Mango平臺上MNGO價格從0.0382美元拉升至最高0.91美元。

此時，黑客的多頭頭寸收益為4.83億個*=4.2億美元，黑客再利用賬戶凈資產從Mango進行借貸；好在平臺流動性不足，黑客最終只借出近1.15億美元資產，其中包括：5441萬USDC、76.85萬個MSOL、76.16萬個SOL、281個BTC、326萬個USDT、235.4萬個SRM以及3241萬個MNGO，如下所示：

事故發生后，Mango官方表示已在10月12日10:37凍結Mango程序指令，以防止任何用戶進一步與協議交互。

實際上，Mango此次遭遇攻擊本可以避免。早在今年3月，名為@Ozcal的Discord用戶就在社群中提醒，Mango對MNGO的頭寸沒有進行限制，可能導致黑客利用價格攻擊，套取平臺資產。但彼時，沒人在意這一bug。

“也許根據現貨流動性對衍生品頭寸進行限制，可以規避利用現貨價格攻擊衍生品交易。”JoshuaLim給出建議。

項目方向黑客妥協？

攻擊發生后，黑客發布了一項新提案，表示希望官方利用國庫資金償還協議壞賬。據了解，目前國庫資金約為1.44億美元，其中包括價值8850萬美元的MNGO代幣以及近6000萬美元的USDC。

黑客表示，如果官方同意上述方案，將返還部分被盜資金，同時希望不會被進行刑事調查或凍結資金。“如果這個提案通過，我將把這個賬戶中的MSOL、SOL和MNGO發送到Mango團隊公布的地址。Mango國庫將用于覆蓋協議中剩余的壞賬，所有壞賬的用戶將得到完整補償……一旦代幣如上述所述被送回，將不會進行任何刑事調查或凍結資金。”

根據前文統計可以得知，黑客計劃送回的資產金額大約是4943萬美元，約為被盜資金的42%，這意味著近半數的被盜資產被黑客留下作為「賞金」，這一比例遠高于以往攻擊事件中官方所承諾的上限。

Mango官方表示，目前最好的解決方式是與攻擊者進行溝通。“MangoDAO的優先事項是：防止任何進一步的不必要損失、確保Mango協議的存款人資金安全、嘗試挽救MangoDAO的一些價值。Mango認為解決此問題的最具建設性的方法是繼續與負責該事件并控制從協議中移除的資金的人溝通，以嘗試友好地解決問題。”

法律專家、LegalDAO發起人MasterLi認為，無論從哪個國家法律的視角，也無論這次投票是否能通過，黑客的犯罪性質是毫無疑問的，其試圖通過這種方式來逃避個人責任，這在任何國家法律下都是行不通的。

“另一個層面是DAO治理規則的層面。在缺少DAO實體的情況下，我認為DAO的治理規則可以被認為是DAO成員之間的某種合同或者契約。黑客通過盜取Token參與到合同關系中，行使提案的權利，法理上是絕對站不住腳的。換句話說，黑客提案和投票的權利本身就是有瑕疵的。這個意義上，「官方」如果以此為由否認這次提案也并不是毫無理由的，我也不認為這有悖DAO的宗旨。這就好比說我去參與民主選舉，有人搶了我的選票幫我投票了，那這次投票毫無疑問是無效的。”

目前尚不清楚官方最終是否會同意該提案并進行實施。截至發稿前，黑客提案獲得3290萬投票贊成，其中3241萬票由黑客自己所投，距離通過門檻6709萬票還有不小的距離。

Tags：DAOMNGOMNGDAO幣DAO價格MNGO價格MNGO幣MNG價格MNG幣

世界幣