流动性低如何导致Mango Markets 亏损超过1.16亿美元

正如Mango 加密货币交易所官方账户发送的一条推文所示，黑客似乎在利用基于 Solana 的 DeFi 网络的漏洞中使用了“预言机价格操纵”策略。

10 月中旬，交易员利用去中心化金融 (DeFi)交易平台 Mango Markets 的一个漏洞，从网络上窃取了价值超过 1.1 亿美元的加密货币。

Twitter 上的另一个帖子提供了事件如何发生的详细分类。攻击者通过使用 USD Coin (美元兑美元1.00 美元) 500 万美元，用于购买平台的原生加密货币 Mango (MNGO) 代币的 483 个单位的永续合约。

攻击者使用这种技术将 MNGO 的价格从 0.03 美元推高至 0.91 美元，将其 MNGO 持有的价值增加到 4.23 亿美元。

这些资金随后被用于使用平台上的几种代币获得 1.16 亿美元的贷款，例如比特币(BTC 20,862 美元), 索拉纳 (SOL 32 美元) 和血清 (SRM)。不幸的是，这笔贷款消除了 Mango Markets 的所有流动性，导致 MNGO 的价格急剧下跌至 0.02 美元。

Mango Markets 的开发团队随后表示，他们正在调查发生的事情，并已对其展开调查。该协议通过其不同的社交媒体渠道向其用户提供该消息，并表示在进行更多研究时已暂时停止存款。此外，该团队还告知用户，在禁用该功能之前，他们应避免将现金存入网站。

Mango Markets 是如何被利用的

攻击者通过获取巨额永续合约，能够操纵 MNGO 代币价格，在如此短的时间内将其推高 30 倍。攻击者可以通过利用有限的市场流动性来人为地抬高代币的价格，通过大量购买订单来推高价格，然后利用新投资者作为退出流动性套现来实现这一目标。这与拉高出货骗局中采用的策略相同。

然而，当流动性非常大时，这种利用很难进行，因为操纵价格所需的现金量会高得多。由于新的或相对未知的代币通常具有极少的流动性，因此此类代币更常见的是拉高抛售计划。

如果 Mango Markets 有足够的流动性，它本可以保护自己免受这种攻击。使用自动做市商 (AMM) 是 Mango Markets 可能用来提高其流动性水平的一种策略。自动做市商是计算机程序，它通过从用户那里收集流动性并使用各种数学公式来决定代币的价格。

算法做市公司 Auros 的联合创始人兼首席信息官 Ben Roth 告诉 Cointelegraph：

“不良交易行为是市场流动性不足的副产品。因此，当‘不良行为者’能够构建由于流动性低而具有高度确定性的攻击向量时，进行此类‘利用’的动机就会增加。”

“在与算法做市商合作时，代币发行人同时抑制这种不良行为，同时在各种市场条件下建立对流动性一致性的信心，”他补充道。

大型代币持有者，也称为流动性提供者 (LP)，负责 AMM 的运营。LP 负责将等量的代币配对(如 MNGO/USDC)引入池中。这使得去中心化交易所可以外包其流动性，同时仍以平台上收取的交易费用份额的形式向 LP 提供补偿。

漏洞利用后

在 Mango Markets 被利用一天后，犯罪者通过作为平台一部分的去中心化自治组织 (DAO) 提出了建议。攻击者建议 Mango DAO用其 7000 万美元的国库偿还任何未偿债务，而不是使用攻击者的资金。

该协议规定，Mango DAO 团队应使用其国库中的资金来弥补任何未偿还的财务义务。之后，网络犯罪分子会将被盗的代币发送到负责 Mango DAO 的组织提供的地址。

通过在漏洞利用期间使用数百万个令牌进行投票，黑客似乎支持这一想法，这是另一种操纵。此外，该事件的肇事者要求，如果请愿获得批准，则不要对他们提起刑事诉讼。

最终，Mango Markets 社区同意让攻击者保留大部分代币作为“漏洞赏金”。这些条款是交易的一部分，该交易将返还价值 6700 万美元的被盗代币，攻击者将剩余的 4700 万美元保留在被盗代币的 1.17 亿美元中。

该交易是通过 Mango DAO 的投票达成的，98% 的选民(或 2.91 亿个代币)投票赞成。该提案包括 Mango Markets 不对黑客提起法律指控。

攻击者暴露了他们的身份

该漏洞背后的攻击者后来出面透露了他们的身份。Avraham Eisenberg在 Twitter 上宣布，他“参与了一个上周实施高利润交易策略的团队”，即那些对 Mango Markets 进行的 1 亿美元攻击负责的人。

Eisenberg 继续说：“我相信我们所有的行为都是合法的公开市场行为，按照设计使用协议，即使开发团队没有完全预料到按原样设置参数的所有后果。”

他指出，由于该漏洞，Mango Markets 破产了，他还表示保险金不足以支付发生的所有清算。因此，损失了价值超过一亿美元的用户现金。

然而，艾森伯格声称他“帮助与保险基金谈判达成和解协议”，以便在为交易所注资的同时让所有用户再次完整。艾森伯格在推特结束时说：“由于这项协议，一旦 Mango 团队完成处理，所有用户将能够全额访问他们的存款，而不会损失资金。”

艾森伯格继续声称他的行为是合法的，类似于加密货币交易所的自动去杠杆化。自动去杠杆是一个过程，交易所使用从成功交易者那里获得的部分利润来弥补因其他交易者被清算而造成的损失。

然而，澳大利亚律师事务所 Piper Alderman 的合伙人 Michael Bacina 此前告诉 Cointelegraph，“如果这发生在受监管的金融市场，很可能会被视为市场操纵。”

虽然理论上用户仍然可以对 Eisenberg 采取法律行动，但 Bacina 表示这在商业上不可行，并指出：

“假设索赔在提案中仍然存在，任何索赔仍然需要减去会员因提案而收到的任何金额，这可能意味着许多会员起诉艾森伯格先生的商业动机有限。”

展望未来，看看 DeFi 协议如何更好地保护其协议将很有趣，无论是使用 AMM 首先阻止这些类型的漏洞利用，还是通过随后的法律行动