Un trader utilizó millones de dólares para manipular los precios de los tokens MNGO de Mango en el exchange del mismo para finalmente drenar más de $116 millones en liquidez de la plataforma.
La plataforma permite a los usuarios negociar en el mercado spot y futuros perpetuos usando su interfaz de trading en la blockchain a bajas tarifas. Alrededor de $30 millones en criptomonedas se negociaron en la plataforma en las últimas 24 horas, según datos de CoinGecko. El movimiento se originó a raíz de una deuda mal gestionada dentro de la economía de Solana que involucraba a la aplicación de préstamos Solend y Mango.
Como se informó esta mañana, Mango y Solend se unieron este año para juntar fondos para rescatar a la gran ballena de Solana que tenía $207 millones en deuda repartidos en múltiples plataformas de préstamos en un movimiento que se suponía que respaldaría pérdidas potenciales en toda la economía de Solana si la posición de la ballena fuera a ser liquidada.
¿Cómo se produjo?
Mango, basada en Solana, como otros exchanges, se basa en contratos inteligentes para asociar intercambios entre usuarios DeFi (Finanzas Descentralizadas). Esto es clave para entender cómo se produjo el exploit, los contratos inteligentes son totalmente descentralizados y no están supervisados por una parte centralizada, lo que significa que un trader puede desplegar suficiente dinero para explotar brechas en cualquier protocolo sin el riesgo de que nadie intervenga para detener el ataque antes de que se produzca. Los ataques se llevaron a cabo usando dos cuentas. En la cuenta “A”, el trader usó inicialmente 5 millones de USDC para comprar 483 millones de MNGO y apostar a que el activo bajaría de precio. Luego, en la cuenta “B”, el trader usó otros 5 millones de USDC para comprar el mismo número de MNGO, usando 10 millones de USDC en total para efectivamente cubrir su posición, según datos de Mango publicados por el director de derivados de Genesis, Joshua Lim.
El comerciante luego usó más fondos para comprar tokens en spot de MNGO, elevando su precio de solo 2 centavos a 91 centavos en un lapso de diez minutos. Esto fue posible ya que el token spot MNGO era poco negociado y tenía baja liquidez, lo que permitió al trader manipular los precios rápidamente. Cuando los precios del token spot MNGO aumentaron, la cuenta «B» del atacante acumuló rápidamente unos $420 millones en ganancias no realizadas. Luego el atacante sacó más de $116 millones en liquidez de todos los tokens disponibles en Mango, lo que eliminó efectivamente el protocolo. Los precios de MNGO se corrigieron pronto de vuelta a 2 centavos, cayendo por debajo de los precios que el trader utilizó por primera vez para comprar futuros de MNGO en cuenta «A». Esa cuenta tiene más de $6 millones de ganancias a la fecha de escritura, pero no hay liquidez restante en la plataforma para pagar al trader.
En general, el trader usó más de 10 millones de USDC para sacar más de $116 millones de Mango, pagando mínimos gastos por realizar el ataque y haciendo todo dentro de los parámetros de cómo la plataforma fue diseñada. Mango no fue hackeada, funcionó exactamente como se esperaba, y un trader astuto, aunque con malas intenciones, logró extraer liquidez del token. Es importante señalar que la estrategia manipuladora anterior no funcionará en dos exchanges centralizados, ya que un trader que coloca ofertas altas en una sola plataforma significaría que los precios se moverán automáticamente más altos en esa plataforma y otros exchanges aumentarían inmediatamente el precio de los activos en sus propios sistemas, lo que significa que la estrategia es poco probable que genere beneficios.
Mientras tanto, los desarrolladores de Mango dijeron el miércoles que revisaron el exploit y culparon a Pyth por el fallo. Los oráculos son herramientas que recogen datos de fuera de una blockchain y la introducen dentro de ella. La reclamación de Mango fue defendida por los partidarios de Pyth. «El atacante bombeó y vendió el token de mango, que es un token poco negociado», escribió Kanav Kariya, presidente de Jump Crypto, un fondo de inversión en criptomonedas que apoya a Pyth, en un tweet. «Los oráculos solo informan el precio. Pyth/Switchboard informó correctamente el precio prevaleciente en las bolsas de valores», añadió Kariya. MNGO está en caída de 40% en las últimas 24 horas.
