Mango 遭漏洞攻擊，損失 1 億美元

10 月 12 日，託管在 Solana 鏈上的去中心化交易平台 Mango Markets 遭遇漏洞攻擊，損失高達 1.15 億美元，當時各家媒體都將其形容為「駭客攻擊」，但許多人確有不一樣的看法。

首先我們來看漏洞攻擊的始末，該漏洞最初是由區塊鏈審計團隊 OtterSec 發現的，他們在推特上表示：「攻擊者能夠操縱他們的 Mango 抵押品。」

OtterSec 的 Robert Chen 解釋：「＄MGNO 治理代幣的價值，在特定情況下會遠遠超過其應有的價值。」

抓住這一點，攻擊者能夠針對這個漏洞，透過高額抵押品獲得大筆的貸款，並以此耗盡 Mango 的代幣流動池，這就像一場借貸競賽。

攻擊者稱一切合法，願意歸還部分資金

事件過後，攻擊者的其中一員 Avraham Eisenberg 在推特上為自己澄清，他表示自己只是合法的運用了市場規則，並稱這次的攻擊是「高利潤交易策略」。

Avraham Eisenberg 表示：「我相信我們所做的都是合法的市場行為，按照該市場的設計使用，只不過開發團隊沒有預料到他們設置的參數會導致這樣的後果。」

不幸的是，交易所 Mango Markets 因此破產，保險基金不足以支付所有清算。這導致其他用戶無法提取他們的資金。Avraham Eisenberg 隨後也提到，自己將會歸還從攻擊事件中獲得的 6,700 萬美元。

他表示，自己已經與 Mango Markets 的保險基金談判並達成和解，現在的目標是盡快讓所有用戶恢復正常。

為什麼這起事件並非「駭客攻擊」？

曾任職於紐約聯邦調查局（FBI）網路犯罪小組的塔貝爾，在採訪中表示：Mango 的漏洞事件「更像是市場操縱」，並不是駭客攻擊。

塔貝爾認為，所謂的「駭客攻擊」是有人試圖進入市場的系統或是協議中，並竄改數據，以此盜用市場資金，這是屬於非法行為，但是這起事件很顯然不是這樣。

這一切必須回歸到整起事件和漏洞是如何出現的：與其他中心化交易所一樣，Mango 是使用「智能合約」來運行與去中心化金融 (DeFi) 用戶之間的交易，關鍵點在於「智能合約」是完全去中心化的，並不受中心化的監督，這代表攻擊者可以快速部署足夠的資金，來利用協議中的漏洞。並且在攻擊前，沒有任何跡象可以阻止。

攻擊者如何鑽 Mango 的漏洞？

接著我們來看看原理和步驟，首先攻擊者使用了兩個帳戶進行操作（以下簡稱甲、乙）：

在甲帳戶使用 500 萬 $USDC 購買 4.83 億 $MNGO 並做空。
在乙帳戶使用 500 萬美元購買了相同數量的 $MNGO 並做多。
在短時間內快速購買 $MNGO 現貨，將價格從 2 美元拉升至 91 美元。（$MNGO 的交易量少、流動性低，價格波動容易操縱。）
隨著 $MNGO 價格的上漲，交易者的「乙帳戶」透過做多，迅速獲得約 4.2 億美元的利潤。
攻擊者迅速從利潤中提取超過 1.16 億美元的 $MNGO 並脫手，導致 Mango 上所有代幣失去流動性。
$MNGO 價格被砸回至 2 美元下方，此時觸發「甲帳戶」的做空，再次獲取利潤，不過此時平台中已經沒有資金可以提取，因此「甲帳戶」的利潤最後沒有兌現。

總體而言，Mango 並沒有被駭客入侵，它完全按照市場的設計在運作，只不過在流動性、代幣設計方面出現極大的漏洞和問題，讓攻擊者注意到這點並有機可乘。

推特上也有許多人認為，媒體對攻擊者的「駭客」指控純屬子虛烏有，這就像是當有玩家發現遊戲出現 BUG 並使用時，營運方不修正漏洞，而是反過來將其告上法庭是一樣的道理。

看完事件的來龍去脈，不知道各位讀者是怎麼想的呢？究竟這起事件是「駭客入侵」，還是單純的交易行為，歡迎在下方留言告訴我們。

Mango 損失 1 億鎂並非駭客案？前 FBI 特工：是市場操縱