Solana : La plateforme Mango Markets victime d'une attaque à 114 millions de dollars
C'est le deuxième hack de plus de 100 millions de dollars ayant touché la finance décentralisée (DeFi) cette semaine. Quelques jours après la BNB Chain, c'est au tour de Solana (SOL) et de la plateforme Mango Markets de subir une attaque. Le hacker a subtilement manipulé les prix des tokens afin de dérober 114 millions de dollars au protocole.
Mango Market perd 114 millions de dollars
Tôt dans la nuit, la plateforme Mango Markets a annoncé avoir été victime d'une attaque de grande ampleur, entraînant la perte d'environ 114 millions de dollars. Les services de l'exchange décentralisé ont été partiellement suspendus en attente d'investigations plus approfondies.
We are currently investigating an incident where a hacker was able to drain funds from Mango via an oracle price manipulation.
We are taking steps to have third parties freeze funds in flight. 1/
— Mango (@mangomarkets) October 11, 2022
« Nous enquêtons actuellement sur un incident au cours duquel un attaquant a pu drainer des fonds de Mango via une manipulation du prix de l'oracle. Nous prenons des mesures pour que des tiers gèlent les fonds dérobés. »
Selon les premières recherches réalisées par la société d'audit blockchain OtterSec, cette attaque résulte d'une subtile manipulation du prix du MNGO, le token natif de la plateforme. Le hacker a ainsi drainé 114 millions de dollars dans la trésorerie de Mango Markets.
Autour de 7 heures du matin, la stratégie utilisée par le hacker a été officiellement confirmée par Mango Markets. Cela corrobore avec les spéculations des spécialistes @joshua_j_lim et OtterSec, qui s'accordent sur le fait que c'est une attaque de type « price oracle manipulation », ou manipulation du prix de l'oracle.
? Apprenez à configurer votre clé Ledger pour naviguer dans le Web3 en toute sécurité
Ledger : la meilleure solution pour protéger vos cryptomonnaies 🔒Comment le hacker s'y est-il pris ?
Concrètement, le hacker aurait commencé en déposant 5 millions d'USDC sur deux comptes différents. Pour commencer, il a utilisé son premier compte pour ouvrir une position de pari à la baisse de 483 millions de MNGO sur le contrat perpétuel MNGO/USDC, à un prix de 0,03 dollar l'unité.
Ensuite, il a utilisé son second compte pour acheter lui-même cette position en ouvrant un pari à la hausse, faisant bondir le prix du token de près de 1000 % en moins d'une heure. Enfin, le hacker a appliqué plusieurs fois cette stratégie pour manipuler le prix du MNGO, lui permettant d'atteindre jusqu'à 0,54 dollar l'unité sur différents exchanges tels que Ascendex ou FTX.
Évolution du cours du MNGO par rapport à l'USDC
En résultante, les oracles Pyth et Switchboard utilisés par Mango Markets ont mis à jour le prix du MNGO. De ce fait, la position à la hausse prise par le hacker était positive d'un montant de 132 millions de dollars environ.
Ces fonds ont ensuite été utilisé pour contracter un emprunt sur plusieurs tokens via Mango Markets, et de retirer les fonds via divers actifs tels que l'USDC, le MSOL, le SOL, le BTC et l'USDT. Évidemment, toute la liquidité disponible sur le protocole a été drainée.
Le MNGO s'échange actuellement autour de 0,02 dollar l'unité. La position de pari à la baisse ouverte par le hacker sur son premier compte est donc positive d'environ 12 millions de dollars à l'heure actuelle. Toutefois, le manque de liquidité et la suspension des fonctionnalités de trading ne lui permettent pas de prendre ses profits.
? À lire également - Binance évite ce qui aurait pu être l'un des plus grands hacks de l'histoire sur la BNB Chain
Acheter des cryptos sur eToroQue va-t-il se passer ensuite ?
Quelques temps après les faits, le hacker a proposé un vote de gouvernance à la communauté de Mango DAO. Dans celui-ci, il propose d'envoyer ses fonds en SOL, MSOL et MNGO (soit environ 50 millions de dollars) au protocole afin de rembourser l'ensemble des utilisateurs lésés dans cette affaire.
Par ailleurs, si la proposition est acceptée, il requiert de ne pas geler ses fonds et d'abandonner toute poursuite judiciaire à son encontre. Fait assez cocasse, le hacker a utilisé les 32 millions de MNGO qu'il détient pour voter en faveur de cette proposition, soit environ 30% des tokens éligibles au vote.
En parallèle, des recherches approfondies ont montré que les fonds du hacker ont été déposés depuis un compte FTX. Interpellé par un internaute, le PDG de FTX, Sam Bankman-Fried, a confirmé avoir lancé une enquête en interne et être prêt à prendre les mesures nécessaires.
Can confirm we are investigating and will take any appropriate action/etc.
— SBF (@SBF_FTX) October 12, 2022
Pour rappel, FTX est un exchange centralisé ayant recours au Know Your Customer (KYC). Autrement dit, chaque utilisateur doit décliner son identité afin de se créer un compte sur la plateforme. Ainsi, il est fort probable que l'identité du hacker puisse être retrouvée rapidement.
Dans le communiqué publié ce matin par Mango, l'équipe du protocole a confirmé que « cet incident a effectivement drainé tous les fonds propres disponibles ». Elle s'est également montrée ouverte face à la volonté du hacker de négocier et assure qu'elle continuera à communiquer sur la suite des évènements.
? Vous souhaitez trader des cryptos avec FTX 👉 Retrouvez notre avis et tutoriel complet sur cette plateforme
Sources : Mango Markets, Communiqué Twitter Mango
Recevez un récapitulatif de l'actualité crypto chaque jour par mail 👌
Ce qu’il faut savoir sur les liens d’affiliation. Cette page peut présenter des actifs, des produits ou des services relatifs aux investissements. Certains liens présents dans cet article peuvent être affiliés. Cela signifie que si vous achetez un produit ou que vous vous inscrivez sur un site depuis cet article, notre partenaire nous reverse une commission. Cela nous permet de continuer à vous proposer des contenus originaux et utiles. Il n'y a aucune incidence vous concernant et vous pouvez même obtenir un bonus en utilisant nos liens.
Les investissements dans les crypto-monnaies sont risqués. Cryptoast n'est pas responsable de la qualité des produits ou services présentés sur cette page et ne pourrait être tenu responsable, directement ou indirectement, par tout dommage ou perte causé suite à l'utilisation d'un bien ou service mis en avant dans cet article. Les investissements liés aux crypto-actifs sont risqués par nature, les lecteurs doivent faire leurs propres recherches avant d'entreprendre toute action et n’investir que dans les limites de leurs capacités financières. Cet article ne constitue pas un conseil en investissement.
Recommandations de l'AMF. Il n’existe pas de rendement élevé garanti, un produit présentant un potentiel de rendement élevé implique un risque élevé. Cette prise de risque doit être en adéquation avec votre projet, votre horizon de placement et votre capacité à perdre une partie de cette épargne. N’investissez pas si vous n’êtes pas prêt à perdre tout ou partie de votre capital.
Pour aller plus loin, lisez nos pages Situation Financière, Transparence du Média et Mentions Légales.