في تذكير صارم بالثغرات المستمرة في مجال التمويل اللامركزي (دي فاي)، تعرضت منصة Mango Markets، وهي بروتوكول تداول وإقراض يعمل على بلوكشين سولانا، لاستغلال خبيث نتج عنه خسارة تقدر بحوالي 285 مليون دولار. لم يتضمن هذا الهجوم، الذي وقع في 11 أكتوبر 2022، اختراقاً مباشراً لشفرة العقد الذكي للمنصة. بدلاً من ذلك، نفذ المخترق هجوماً متطوراً يعرف بـ "تلاعب أوراكل الأسعار"، حيث قام بتضخيم قيمة الضمانات المقدمة بشكل مصطنع، مما مكنه من اقتراض واستنزاف الأموال من خزينة البروتوكول. أجبرت هذه الحادثة منصة Mango Markets على تعليق جميع عمليات الإيداع والسحب، مما جعل أموال المستخدمين غير قابلة للوصول مؤقتاً وأرسل صدمة عبر نظام سولانا البيئي.
ركز ناقل الهجوم على التلاعب بـ "أوراكل الأسعار"، وهي قنوات بيانات حاسمة توفر أسعار السوق الخارجية لعقود دي فاي الذكية. استغل المهاجم مركزاً كبيراً في سوق العقود الآجلة الدائمة لرمز MNGO على منصة Mango Markets نفسها. ومن خلال تنفيذ سلسلة من الصفقات الكبيرة عبر الأسواق على سوق بقعة ضعيفة التداول لرمز MNGO في منصة أخرى، تمكن من خلق ارتفاع حاد ومصطنع في سعر الرمز المميز MNGO. ونظراً لأن أوراكل منصة Mango Markets اعتمد على بيانات سعر البقعة هذه، قام البروتوكول بتقييم ضمانات المهاجم من MNGO بشكل خاطئ بقيمة فلكية مرتفعة. مع هذه القيمة المتضخمة للضمان، تمكن المهاجم بعد ذلك من اقتراض几乎所有 الأصول الأخرى من مجمعات الإقراض في Mango Markets، بما في ذلك USDC وSOL وBTC، مما أدى في النهاية إلى استنزاف سيولة البروتوكول.
في تطور غير معتاد بعد الهجوم، قدم المخترق، الذي يسيطر على الأموال، اقتراح حوكمة إلى المنظمة المستقلة اللامركزية (DAO) التابعة لـ Mango Markets. عرض الاقتراح إعادة جزء من الأموال المسروقة مقابل قيام DAO باستخدام خزينتها لتغطية الديون المعدومة، مما يمنح المهاجم فعلياً حصانة من الملاحقة الجنائية والدعاوى المدنية. بعد تصويت مثير للجدل، وافقت DAO على الاقتراح. أعاد المهاجم حوالي 67 مليون دولار من الرموز المميزة المختلفة، محتفظاً بالباقي كم ما أسماه "مكافأة اكتشاف الأخطاء". أثار هذا الحل المثير للجدل نقاشاً حاداً داخل مجتمع العملات المشفرة حول أخلاقيات التفاوض مع المهاجمين والآثار القانونية لمثل هذه القرارات اللامركزية في الحوكمة.
يؤكد استغلال Mango Markets عدة دروس أمنية حرجة لقطاع دي فاي. أولاً، يسلط الضوء على الخطر الحاد لتلاعب أوراكل الأسعار، خاصة للأصول ذات السيولة المنخفضة. يجب على البروتوكولات تنفيذ حلول أوراكل قوية، مثل استخدام متوسطات الأسعار الموزونة زمنياً (TWAPs) من مصادر موثوقة متعددة، للتخفيف من مثل هذه الهجمات. ثانياً، يكشف الحدث عن التحديات القانونية والأخلاقية المعقدة للحوكمة اللامركزية في حالات الأزمات. إن قرار استخدام أموال الخزينة لافتداء أصول المستخدمين بشكل فعال يخلق سابقة خطيرة. بالنسبة للمستخدمين، فإن الحادث تذكير قوي بمخاطر عدم الحفظ المتأصلة في دي فاي؛ عند التفاعل مع العقود الذكية، يكونون مسؤولين في النهاية عن أمان تصميم البروتوكول، وهو مبدأ يعرف باسم "مفاتيحك، عملاتك، مخاطرك".
