Στις 18 Οκτωβρίου, η Moola Market – μια πλατφόρμα δανεισμού κρυπτογράφησης αξιοπρεπούς μεγέθους – έγινε αντικείμενο εκμετάλλευσης μέσω χειραγώγησης τιμών του εγγενούς διακριτικού της, MOO, το οποίο έχει σχετικά χαμηλή ρευστότητα. Ωστόσο, το CELO – ένα οικοσύστημα στο οποίο ανήκει η Moola Markets – δεν το κάνει.
Το exploit ήταν παρόμοιο στη φύση του με το πρόσφατο φιάσκο Mango Markets, καθώς ο εισβολέας χρησιμοποίησε το εγγενές διακριτικό μιας πλατφόρμας με χαμηλή ρευστότητα για να πραγματοποιήσει μια σειρά από ασυνήθιστες συναλλαγές που, αν και δεν είναι τεχνικά παράνομες, συνιστούν κατάχρηση της πλατφόρμας.
Η τιμή MOO αυξήθηκε κατά 6,400%
Προκειμένου να δημιουργήσει μια τεράστια πληρωμή, ο εισβολέας αγόρασε MOO αξίας περίπου 45 χιλιάδων δολαρίων, το οποίο στη συνέχεια τέθηκε ως εγγύηση για να δανειστεί το CELO από την πλατφόρμα. Τίποτα το ασυνήθιστο μέχρι στιγμής. Ωστόσο, ο εισβολέας χρησιμοποίησε το δανεισμένο CELO για να αγοράσει περισσότερα MOO.
Αυτή η εναλλασσόμενη επανάληψη της αγοράς ενός διακριτικού και της χρήσης του ως εγγύησης για το άλλο επαναλήφθηκε πολλές φορές. Αν αυτή η προσπάθεια είχε γίνει με δύο μάρκες υψηλής ρευστότητας, οι επιπτώσεις στις τιμές τους θα ήταν αμελητέες.
Ωστόσο, δεδομένου ότι το MOO είναι ένα διακριτικό με πολύ χαμηλή ρευστότητα, η συνεχής αγορά του MOO θεωρήθηκε από το blockchain ως ξαφνικό ενδιαφέρον για το διακριτικό, ωθώντας την τιμή σε εκπληκτικό ποσοστό 6,400%. Η ομάδα στο Moola έσπευσε να αντιληφθεί το κακό.
Διερευνούμε ενεργά ένα περιστατικό @Moola_Market. Όλη η δραστηριότητα στο Moola έχει τεθεί σε παύση. Μην κάνετε εμπόριο mTokens.
Για τον εκμεταλλευτή, επικοινωνήσαμε με τις αρχές επιβολής του νόμου και λάβαμε μέτρα για να καταστήσουμε δύσκολη τη ρευστοποίηση των κεφαλαίων. Είμαστε πρόθυμοι να διαπραγματευτούμε ένα…
— Moola Market 🐮 (@Moola_Market) Οκτώβριος 18, 2022
Δυστυχώς, από τη στιγμή που αντιλήφθηκαν ότι ο επιχειρηματίας έμπορος έδειχνε αδικαιολόγητο ενδιαφέρον για το διακριτικό, ο εισβολέας μπόρεσε να χειραγωγήσει την τιμή του MOO αρκετά υψηλό ώστε να αγοράσει MOO συνολικής αξίας 1.2 εκατομμυρίων δολαρίων, 740 χιλιάδες δολάρια CELO ευρώ ( cEUR), $644 CELO USD (cUSD) και $6.6 εκατομμύρια CELO. Συνολικά, δανείστηκαν κεφάλαια περίπου 9.1 εκατομμυρίων δολαρίων, ξεκινώντας από μια αρχική κατάθεση 45 χιλιάδων δολαρίων.
Επιστροφή στην πίστα
Μόλις οι προγραμματιστές της Moola παρατήρησαν τις συναλλαγές, επικοινώνησαν αμέσως με τον εισβολέα μέσω Twitter, υποσχόμενοι νομικές ενέργειες εάν τα χρήματα δεν επιστραφούν εντός 24 ωρών. Είναι σημαντικό να σημειωθεί ότι η πλατφόρμα θα είχε περιορισμένη νομική προσφυγή σε περίπτωση που ο εισβολέας αρνιόταν.
Ωστόσο, τα δύο μέρη φαίνεται ότι κατέληξαν σε συμφωνία σχετικά γρήγορα.
«Μετά το σημερινό περιστατικό, το 93.1% των κεφαλαίων έχει επιστραφεί στο multi-sig διακυβέρνησης Moola. Συνεχίσαμε να διακόπτουμε όλη τη δραστηριότητα στο Moola και θα συνεχίσουμε με την κοινότητα για τα επόμενα βήματα και για την ασφαλή επανεκκίνηση των λειτουργιών του πρωτοκόλλου Moola.»
Τα υπόλοιπα 500 $ φαίνεται να αντιπροσωπεύουν ένα bug bounty για τον επιχειρηματικό εισβολέα – ένα πολύ μικρότερο ποσό από αυτό που είχαν αρχικά, αλλά παρόλα αυτά μια απόδοση 1,000%+ της αρχικής επένδυσής του ύψους $45.
Binance Δωρεάν 100 $ (Αποκλειστικά): Χρησιμοποιήστε αυτόν τον σύνδεσμο για να εγγραφείτε και να λάβετε δωρεάν προμήθειες 100 $ και έκπτωση 10% στο Binance Futures τον πρώτο μήνα (όροι).
Ειδική προσφορά PrimeXBT: Χρησιμοποιήστε αυτόν τον σύνδεσμο για να εγγραφείτε και να εισαγάγετε τον κωδικό POTATO50 για να λάβετε έως και 7,000 $ στις καταθέσεις σας.
Πηγή: https://cryptopotato.com/making-500k-in-a-day-moola-market-hacker-gets-a-bounty-and-returns-stolen-funds/