El comerciante aprovechó la falta de liquidez manipulando el precio de MNGO en el intercambio descentralizado, Mango.

Un comerciante de criptomonedas deshonesto utilizó millones de dólares para manipular los precios de los tokens MNGO de Mango en el intercambio descentralizado (DEX) del mismo nombre para finalmente drenar más de $116 millones en liquidez de la plataforma.

El intercambio permite a los usuarios negociar futuros al contado y perpetuos utilizando su interfaz de negociación en cadena a tarifas bajas. Se negociaron unos 30 millones de dólares en criptomonedas en el intercambio en las últimas 24 horas, según los datos de CoinGecko.

La medida surgió en medio del drama en curso en torno a una deuda incobrable dentro del ecosistema Solana DeFi que involucró a la aplicación de préstamos Solend y Mango.

Como se informó esta mañana, Mango y Solend se unieron a principios de este año para reunir fondos para rescatar a una gran ballena de Solana que tenía una deuda de $207 millones repartida en múltiples plataformas de préstamos, en un movimiento que se suponía que respaldaría pérdidas potenciales en todo el ecosistema de Solana. si la posición de la ballena fuera liquidada.

Cómo se produjo el exploit

Mango, con sede en Solana, al igual que otros DEX, se basa en contratos inteligentes para hacer coincidir las transacciones entre usuarios de finanzas descentralizadas (DeFi). Esto es clave para comprender cómo se llevó a cabo el exploit: los contratos inteligentes están totalmente descentralizados y no son supervisados ​​por una parte centralizada, lo que significa que un comerciante deshonesto puede desplegar suficiente dinero para explotar las lagunas en cualquier protocolo sin el riesgo de que alguien intervenga para detener el ataque antes de que tenga lugar.

Se utilizaron dos cuentas para realizar el ataque. En la cuenta A, el comerciante utilizó inicialmente una moneda de 5 millones de dólares (USDC) para comprar 483 millones de MNGO e ir en corto o apostar en contra del activo. Luego, en la cuenta B, el comerciante usó otros 5 millones de USDC para comprar la misma cantidad de MNGO, usando 10 millones de USDC en total para cubrir efectivamente su posición, según muestran los datos sobre Mango señalados por el jefe de derivados de Génesis, Joshua Lim.

Luego, el comerciante usó más fondos para comprar tokens MNGO al contado, lo que llevó su precio de solo 2 centavos a 91 centavos en un lapso de diez minutos. Esto fue posible ya que el MNGO al contado era un token poco negociado con poca liquidez, lo que permitía al comerciante deshonesto manipular los precios rápidamente.

A medida que aumentaron los precios al contado de MNGO, la cuenta B del comerciante acumuló rápidamente unos $420 millones en ganancias no realizadas. Luego, el atacante sacó más de $ 116 millones en liquidez de todos los tokens disponibles en Mango, lo que eliminó efectivamente el protocolo.

Los precios al contado de MNGO pronto se corrigieron nuevamente a 2 centavos, cayendo por debajo de los precios que el operador usó por primera vez para comprar futuros de MNGO en la cuenta A. Esa cuenta tiene más de $6 millones en ganancias al momento de escribir, pero no queda liquidez en la plataforma para pagar al comerciante.

En total, el comerciante deshonesto usó más de 10 millones de USDC para sacar más de $116 millones de Mango, pagando tarifas mínimas por realizar el ataque y haciendo todo dentro de los parámetros de diseño de la plataforma. Mango no fue pirateado, funcionó exactamente como se pretendía, y un comerciante inteligente, aunque con intenciones nefastas, logró exprimir la liquidez del token.

Es importante tener en cuenta que la estrategia de manipulación anterior no funcionará en dos intercambios centralizados, porque un comerciante que realiza ofertas altas en un lugar significaría que los precios suben automáticamente en ese intercambio y otros intercambios aumentan inmediatamente el precio de los activos en sus propios sistemas: lo que significa que es poco probable que la estrategia genere ganancias netas.

Mientras tanto, los desarrolladores de Mango dijeron el miércoles que los oráculos de precios de Switchboard y Pyth actualizaron el precio de referencia de MNGO a más de $0.15, en línea con el aumento de precios en FTX y Ascendex. Los oráculos son herramientas de terceros que obtienen datos desde fuera de una cadena de bloques hacia su interior.

Ninguno de los proveedores de Oracle tiene ninguna culpa aquí. El informe de precios de Oracle funcionó como debería, escribió Mango en Twitter. El atacante bombeó y descargó el token de mango, que es un token poco comercializado, escribió en un tuit Kanav Kariya, presidente de Jump Crypto, un criptofondo que ha respaldado fuertemente a Pyth.

“Los oráculos solo informan el precio. Pyth/Switchboard informó con precisión los precios predominantes en los intercambios”, agregó Kariya. MNGO ha bajado un 40% en las últimas 24 horas.