117 מיליון דולר נגנבו מפלטפורמת הקריפטו מנגו

מנגו (Mango Markets) – בורסה למטבעות דיגיטליים שעובדת דרך פלטפורמת הבלוקצ'יין Solana – נשדדה ונגנבו ממנה 117 מיליון דולרים.

הבורסה מציעה לסוחרים לרכוש באופן מהיר וזול מטבעות דיגיטליים באופן חופשי. לפי ציוץ של הקורבן בטוויטר, הפריצה בוצעה באמצעות מניפולצית מחירים עם אסימון (Token) מקורי של הפלטפורמה.

We are currently investigating an incident where a hacker was able to drain funds from Mango via an oracle price manipulation.

We are taking steps to have third parties freeze funds in flight. 1/

— Mango (@mangomarkets) October 11, 2022

איך השוד בוצע בפועל?

בשלב הראשון, התוקף (או התוקפים) השתלט על חשבון שבו היו כ-5 מיליון דולרים דיגיטליים (USDC) בבורסת הקריפטו. לאחר מכן, התוקף ביצע הזמנה של 483 מיליון יחידות של מטבע קריפטו מסוג מנגו בספר ההזמנות של הפלטפורמה. כעבור דקות ספורות, התוקף כבר השתמש בחשבון נוסף, ככל הנראה מדובר גם בחשבון אמיתי שהוא פרץ אליו. הוא הציע לרכוש בעזרתו את 483 מיליון היחידות במחיר של 0.03 דולר ליחידה, משמע – רכישה בסך של כ-14.5 מיליון דולר. אז התוקף הצליח "לשחק" במחיר היחידות והעלה אותן למחיר של 0.91 דולר ליחידה. בסופו של דבר, הוא העלה את השווי של 483 מיליון היחידות שהוא "רכש" למחיר של 439.5 מיליון דולר.

על בסיס השווי הזה, הפורץ לקח מ-מנגו הלוואה בסך של 116 מיליון דולר והשאיר את הקופה של הפלטפורמה במצב של יתרה שלילית של 116.7 מיליון – כאשר בפועל לא היה בידו שום סכום העולה על 5 מיליון דולר.

בסיום הפריצה, התוקף העלה "סקר" בחשבון הטוויטר שלו, בו הוא שאל את חכמת ההמונים האם יהיה נכון להשאיר לתוקף (משמע – לעצמו) את הכסף כ-באג באונטי (bug bounty) – והוא השתמש בחשבונות פיקטיביים שהשתלט עליהם ללחוץ על "כן" מספר רב של פעמים – כדי להראות שתומכים בו. מומחים ציינו כי הארנק הדיגיטלי של התוקף ידוע ולא בטוח שהוא יוכל להשתמש בו בעתיד. זאת בהתאם להחלטת פרויקט הקריפטו אם לפנות לרשויות החוק בנוגע לאירוע הפריצה.

בסופו של דבר, כמה שעות לאחר הפריצה, התוקף הציב למנגו אולטימטום והשתמש במניפולציה בדמות 'באג באונטי' שהמציא, בה הוא דורש להשאיר אצלו חלק מהכסף שלקח ולהחזיר את השאר – רק כדי שפרויקט הקריפטו יכסה את החובות של המשקיעים שנוצרו עקב הפריצה שביצע.

משה לוי, מנהל אבטחת מידע בסייברינט. צילום: מקסים דינשיין

נדרשות פעולה ורגולציה לפרויקטי הקריפטו

לדברי משה לוי, מנהל אבטחת מידע בסייברינט – העוסקת בזיהוי פשעי ופושעי סייבר – "מדובר במתקפה השנייה בתוך שבוע, בה נגנב סכום שעולה על כ-100 מיליון דולר. המתקפות האחרונות שאנו רואים על פרויקטי קריפטו למיניהם אינן מתקפות זהות. ככל הנראה, התוקפים מבצעים מגוון מתקפות ומנצלים מספר רחב של חולשות כדי לעקוף את ההגנות שכבר קיימות".

לוי סיים באומרו כי "להערכתי, הגישה החדשה של פרויקטי הקריפטו, שמציעים תגמול כספי על גילוי הפירצה, המכונה 'באג באונטי', משתכללת מפעם לפעם ורק מחמירה. כרגע נראה שיש עוד הרבה מה לתקן, ולא מעט שכר לימוד לשלם, כדי שפרויקט קריפטו יהיו בטוחים ומאובטחים יותר. בנוסף, יש להחיל רגולציה מחמירה על פרויקטי קריפטו שונים עד שניתן יהיה לטפל באירועים מסוג זה".