В очередное суровое напоминание о постоянных уязвимостях в сфере децентрализованных финансов (DeFi) протокол торговли и кредитования Mango Markets, работающий на блокчейне Solana, стал жертвой эксплуатации уязвимости на сумму примерно $285 млн. Атака, развернувшаяся 11 октября 2022 года, не предполагала прямого взлома кода смарт-контракта платформы. Вместо этого злоумышленник осуществил сложную атаку "манипуляции оракулом", искусственно завысив стоимость своего залога, чтобы заимствовать и вывести средства из казны протокола. Инцидент вынудил Mango Markets приостановить все депозиты и снятия средств, сделав средства пользователей временно недоступными и послав шоковые волны по экосистеме Solana.
Вектор атаки был сосредоточен на манипуляции ценовыми оракулами — критически важными источниками данных, которые предоставляют внешние рыночные цены для смарт-контрактов DeFi. Злоумышленник занял крупную позицию на рынке бессрочных фьючерсов MNGO на самой платформе Mango Markets. Затем, выполнив серию крупных кросс-рыночных сделок на малоактивном спотовом рынке MNGO на другой бирже, он смог создать резкий, но искусственный скачок цены токена MNGO. Поскольку оракул Mango Markets полагался на эти данные спотовой цены, протокол некорректно оценил залог злоумышленника в MNGO на астрономически высоком уровне. С этим завышенным значением залога злоумышленник смог заимствовать почти все другие активы из пулов кредитования Mango Markets, включая USDC, SOL и BTC, в конечном итоге осушив ликвидность протокола.
В крайне необычном развитии событий после атаки эксплойтер, контролировавший средства, инициировал предложение по управлению (governance proposal) для децентрализованной автономной организации (DAO) Mango Markets. В предложении фигурировало возвращение части украденных средств в обмен на то, что DAO использует средства своей казны для покрытия безнадежных долгов, что фактически гарантировало злоумышленнику иммунитет от уголовного преследования и гражданских исков. После спорного голосования DAO одобрило это предложение. Злоумышленник вернул примерно $67 млн в различных токенах, оставив остальное в качестве так называемого "баг-баунти". Это спорное разрешение ситуации вызвало жаркие дебаты в криптосообществе об этике переговоров со злоумышленниками и правовых последствиях таких решений децентрализованного управления.
Эксплойт Mango Markets подчеркивает несколько критически важных уроков кибербезопасности для сектора DeFi. Во-первых, он высвечивает острый риск манипуляции оракулами, особенно для активов с низкой ликвидностью. Протоколы должны внедрять надежные решения для оракулов, такие как использование средневзвешенных по времени цен (TWAP) из нескольких авторитетных источников, чтобы смягчить подобные атаки. Во-вторых, это событие раскрывает сложные юридические и этические проблемы децентрализованного управления в кризисных ситуациях. Решение использовать средства казны для фактического выкупа активов пользователей создает опасный прецедент. Для пользователей этот инцидент является мощным напоминанием о рисках, присущих некастодиальным моделям DeFi; при взаимодействии со смарт-контрактами они в конечном счете несут ответственность за безопасность дизайна протокола — принцип, известный как "your keys, your coins, your risk" (ваши ключи, ваши монеты, ваш риск).
