Conforme noticiou o CriptoFácil, o protocolo de finanças descentralizadas (DeFi) Mango, baseado em Solana, sofreu um ataque hacker na terça-feira (11). O ataque resultou no roubo de US$ 100 milhões em tokens, ou R$ 520 milhões na cotação atual.
Nesta quarta-feira (12), começaram a surgir detalhes de como esse ataque ocorreu. De acordo com informações, uma mistura de quebra de liquidez e manipulação resultou no ataque. Além disso, o hacker utilizou stablecoins para movimentar parte do dinheiro.
Por fim, o responsável pelo ataque entrou em contato e fez uma proposta para devolver os fundos roubados na ação. A proposta está em votação e já conta com mais de 33,5 milhões de votos, dos quais 99% são favoráveis a aceitar o acordo proposto pelo hacker.
Como ocorreu o ataque
A Mango é uma exchange descentralizada (DEX) construída na blockchain Solana. Como outras DEX, a Mango depende de contratos inteligentes para combinar negócios entre usuários de DeFi. Isso ocorre de forma descentralizada, sem intermediários, por meio da blockchain.
Isso é fundamental para entender como a exploração ocorreu. Embora a descentralização traga mais segurança e liberdade, ela não é 100% à prova de falhas. Um usuário que deseje cometer crimes pode, por exemplo, implantar dinheiro suficiente para explorar brechas em qualquer protocolo. E como não há centralização, pode demorar antes de alguém intervir para impedir o ataque.
Confira nossas sugestões de Pre-Sales para investir agora
Nesse sentido, no caso específico do Mango, o hacker utilizou duas contas para conduzir o ataque. Na conta “A”, o trader usou inicialmente 5 milhões de USD Coin (USDC) para comprar 483 milhões de MNGO e ficar vendido ou apostar contra o ativo.
Em seguida, o hacker utilizou a conta “B”, que tinha outros 5 milhões de USDC, para comprar a mesma quantidade de MNGO. Ou seja, ele utilizou 10 milhões de USDC no total para proteger efetivamente sua posição.
Manipulação de liquidez
A análise dos dados partiu de Joshua Lim, chefe de derivativos da Genesis Trading. De acordo com Lim, o hacker então usou mais fundos para comprar tokens MNGO no mercado à vista (spot), causando uma valorização artificial no preço.
Em apenas dez minutos, o preço do token saiu de US$ 0,02 para US$ 0,91. Isso foi possível porque o MNGO tinha uma liquidez muito baixa no mercado spot, o que permitiu ao hacker manipular os preços rapidamente.
À medida que os preços do MNGO aumentavam, a conta “B” do trader rapidamente acumulou cerca de US$ 420 milhões em lucros não realizados. Depois, o hacker tirou mais de US$ 116 milhões em liquidez de todos os tokens disponíveis no Mango, o que efetivamente acabou com o protocolo.
Como resultado, os preços do MNGO no mercado spot desabaram, voltando para os US$ 0,02. Já o dinheiro que o hacker tirou foi o valor efetivamente roubado. A conta “A” ainda tem US$ 6 milhões em lucros até a finalização deste texto, mas não há liquidez na plataforma para pagar o hacker.
Roubo através de stablecoins
Ao todo, o invasor usou mais de 10 milhões de USDC para retirar mais de US$ 116 milhões do Mango, pagando taxas mínimas para conduzir o ataque. Não houve nenhuma fraude ou algo do tipo: tudo ocorreu conforme os parâmetros estabelecidos pela plataforma.
Em outras palavras, o Mango não foi hackeado, funcionou exatamente como pretendido. Mas um trader experiente, com intenções nefastas, conseguiu drenar a liquidez dos tokens.
Enquanto isso, os desenvolvedores do Mango disseram na quarta-feira que revisaram a exploração e culparam um oráculo defeituoso chamado Pyth pelo lapso. Os oráculos são ferramentas de terceiros que buscam dados de fora de uma blockchain para dentro dela.
No entanto, os apoiadores do Pyth negaram que o oráculo tenha culpa no caso. “O invasor causou uma valorização e descartou o token MNGO, que é um token pouco negociado. O oráculo acabou de informar o preço. A Pyth/Switchboard relatou com precisão os preços predominantes nas exchanges”, disse a equipe.
Proposta de devolução
Menos de 24 horas após o ataque, o hacker entrou em contato através do Realms, uma ferramenta de criação de Organizações Autônomas Descentralizadas (DAOs), e fez uma proposta de devolução dos valores roubados na ação.
Na verdade, a proposta se assemelha mais a um ultimato do que a uma negociação. O hacker exigiu que o Mango utilizasse o dinheiro do seu tesouro para pagar seu “débito ruim” (bad debt). Em troca, o invasor devolveria os tokens roubados para um endereço fornecido pela equipe do Mango.
O tal débito ruim diz respeito a um resgate que a Mango Markets e a plataforma de empréstimos Solana rival, Solend, organizaram para uma grande baleia da Solana que tinha US$ 207 milhões em dívidas espalhadas por várias plataformas de empréstimos. O resgate noticiado no CriptoFácil gerou muita polêmica e discussão entre os usuários da Solana.
Além disso, o hacker também pediu que os detentores de MNGO não entrassem em contato com a justiça nem fizessem o congelamento dos fundos.
Esta proposta está em votação e os detentores dos tokens tem até sexta-feira (14) para decidir se aceitam ou não. Por enquanto, dos 33,2 milhões de votos, 99,9% optam pela aprovação da proposta.
- Leia também: Bitcoin estabiliza e mercado de criptomoedas reage. ETH, BNB, SOL, DOGE, DOT e SHIB têm alta de até 3%
