Plateforme de finance décentralisée sur la blockchain Solana, Mango a été victime d’un hack dont le montant avoisine 114 millions de dollars. Le pirate tente de négocier une récompense exorbitante.
La finance décentralisée reste une cible particulièrement sensible, voire vulnérable, pour les cybercriminels. Mango, une plateforme DeFi du réseau Solana, en fait l’amère expérience après le siphonnage de ses pools de liquidités.
Le préjudice pour le service est estimé à plus de 100 millions de dollars. Par ailleurs, le jeton natif de Mango, le MNGO, a été profondément affecté par cette attaque et ses conséquences financières.
Un collatéral surévalué par manipulation de prix
Depuis l’officialisation du hack, le cours du MNGO a chuté de plus de 40%. Le point de départ, c’est donc une attaque sur le protocole. Selon les experts en sécurité blockchain d’OtterSec, l’attaquant a été en mesure de manipuler la valeur de son collatéral.
La surestimation de ce collatéral a alors été exploitée pour réaliser des prêts très conséquents et ainsi drainer les pools de liquidités de la plateforme Mango. Celle-ci précise que ce scénario a été rendu possible par la manipulation de prix au niveau d’un oracle.
Nous enquêtons actuellement sur un incident au cours duquel un pirate a pu drainer des fonds de Mango via une manipulation du prix de l’oracle. Nous prenons des mesures pour que des tiers gèlent les fonds en fuite”, indique Mango sur Twitter.
Une prime ou rançon exigée de 70M$
L’attaquant semble cependant décidé à « négocier », mais en échange d’une récompense considérable. Celui-ci a déposé une proposition aux détenteurs de tokens dans le cadre d’un vote de gouvernance.
Le voleur déclare qu’il restituera les jetons volés. En contrepartie, Mango Markets doit utiliser sa trésorerie de 70 millions de dollars en USDC afin de rembourser les utilisateurs prêteurs. Le pirate conserverait ainsi un solde estimé à 70 millions de dollars.
La plateforme doit en outre s’engager à ne lancer aucune poursuite contre l’attaquant ni à geler les jetons. Si les hackers perçoivent parfois des bug bounty, des récompenses, celle exigée paraît toutefois exorbitante et relève plus de la demande de rançon.
Édité le 17/10/2022 à 8h40 : la publication initiale indiquait à hack à hauteur de 116 millions de dollars, il s’agit de 114 millions.
Suivez Coins.fr sur Twitter, Linkedin, Facebook ou Telegram pour ne rien manquer