MANGO Hacklendi(DeFi) - 100 Milyon $ Çalındı

[MK-74]

Solana üzerine kurulu olan Mango Market hacklendi, hacker teminat sistemindeki açıktan faydalanarak büyük krediler çekmiş.
100 milyon doları götürmüş adam. Hackerden iade talep etmişler 70m dolar verin ediyim demiş

https://uzmancoin.com/solana-tabanli-defi-platformu-mango-hacklendi-zarar-100-milyon-i-asti/

[ajanwalker]

İade talep etmekte neyin nesi abi. Hackerında  70 milyon dolara iade etmek istemesi ayrı bir komedi. Bari oldu olacak beni de escrow yapsınlar 😄

[Bthd]

Oluş şekliyle değil ancak gelişimi itibariyle tarihte görülmüş en ilginç hack olaylarından birisi olmaya aday. Ele geçirmiş olduğu Mango tokenler ile kendisini aklayacak bir çözüm yolu bulmaya çalışarak oylama başlattı. İstediği oran çaldığı miktarın %70'ine yakın, daha cazip bir miktar teklif etmiş olsaydı kabul görerek tarihe geçebilirdi. Yada ele geçirdiği miktar biraz daha fazla olsaydı oylamayı geçirebilecek oy miktarına sahip olarak tamamını bağış gibi göstermeyi deneyebilirdi. Fazlasıyla zekice hareket.

Mangoyu çok erken döneminde test etme fırsatı bulmuştum. Varlıklarımın bir kısmı zincir üzerinde dapp yapısındaki bir sorun yüzünden kaybolmuştu ve ekip telafi etmişti. İyi niyetli olmak iyi bir proje ortaya koymak için her zaman yeterli olmayabiliyor. Onlar adına üzüldüm.


Oylama sayfası: https://dao.mango.markets/dao/MNGO/proposal/3WZ5DpZXDvNAK4JwPS1HDPzSinEJUGpBC4XXx9vPtnVS

[Red Pie]

Oluş şekliyle değil ancak gelişimi itibariyle tarihte görülmüş en ilginç hack olaylarından birisi olmaya aday. Ele geçirmiş olduğu Mango tokenler ile kendisini aklayacak bir çözüm yolu bulmaya çalışarak oylama başlattı. İstediği oran çaldığı miktarın %70'ine yakın, daha cazip bir miktar teklif etmiş olsaydı kabul görerek tarihe geçebilirdi. Yada ele geçirdiği miktar biraz daha fazla olsaydı oylamayı geçirebilecek oy miktarına sahip olarak tamamını bağış gibi göstermeyi deneyebilirdi. Fazlasıyla zekice hareket.

Mangoyu çok erken döneminde test etme fırsatı bulmuştum. Varlıklarımın bir kısmı zincir üzerinde dapp yapısındaki bir sorun yüzünden kaybolmuştu ve ekip telafi etmişti. İyi niyetli olmak iyi bir proje ortaya koymak için her zaman yeterli olmayabiliyor. Onlar adına üzüldüm.


Oylama sayfası: https://dao.mango.markets/dao/MNGO/proposal/3WZ5DpZXDvNAK4JwPS1HDPzSinEJUGpBC4XXx9vPtnVS

Sanırım istediği oyların yarısını da kendisi oylamış değil mi hocam. eğer sistemin istediği oy miktarını sağlayabilseydi çok ilginç bir hack olayı olacaktı bence de. 70 milyon dolar yerine 30-40 milyon dolar temiz olarak isteseydi illegalliği de bir kenara bırakıp temiz 30 milyon doları olurdu bence. açgözlülük yapılmamalı bazen.

[Pierre 2]

Hayatımda okuduğum en komik hack olaylarından biri olmuş bu. Özellikle oylama mevzusu. Aslında %20 sini komisyon gibi alsaydı belki çok daha kolaylıkla kabul alabilirdi. Yasal açıdan garanti mi yaratmak istemiş acaba düşüncesi bende de oluştu. Her halükarda çok komik durum. Solana ağındaki projelerde böyle hack ve benzeri olaylar yaşanması bana çok üzücü geliyor halbuki çok iyi bir coin.

[Bthd]

Hikayenin yarım kalmaması adına filmin sonunu da paylaşayım, aslında bu olay ile ilgili eğitici bir film bile çekilebilir. Saldırgan saldırıyı yapmadan önce discord grubunda yapacaklarını dile getirdiği için yakayı ele veriyor.

Önce saldırganın kimliğinin tespit edildiğine dair haberler çıktı: 114 Milyon Dolarlık Mango Saldırısının Faili İddialara Göre Belli Oldu!

Konuşmalarda saldırgana saldırmak yerine ekibe haber vererek ödül alması tavsiye ediliyor fakat ödülün düşük olduğunu söyleyerek platformu boşaltıyor. Burada olası hack durumlarının önüne geçebilmek için gerçekçi ödüller koymanın ne kadar önemli olduğu ortaya çıkıyor. +100m$ kilitli bir platformda ciddi bir açığın tespiti için koyulan ödül 100k$ gibi komik miktarlar olduğunda hiç bir caydırıcılığa sahip olmuyor. Aslında bu işi yüzdesel yapmak belki de en makulü.

Daha sonra saldırgan twit atarak yaptığı şeyin legal olduğuna inandığıyla ilgili saçma argümanlar sundu ve çalınan malın ekibe tekrar teslim edileceğini açıkladı.

Olayın kahramanı şüphesiz discord grubundaki yazıları paylaşarak saldırganın kimliğinin ortaya çıkmasını sağlayan kişi.

[MK-74]

Yani 100 milyon dolar kilitli bir platform için 100k dolar çok komik bir rakam, adam 100 milyon dolar alma varken neden 100k alsın ki bunu çoğu kişi bu şekilde yapardı.
Dile getirmeseydi şuan hala arıyorlardı bu adamı, yazık oldu platforma bu saatten sonra.

[trendcoin]

yaparım demiş yapmış. :) yaptığı şeyi elbette tasvip etmiyorum ama önceden pazarlığa girmesi ve eli beğenmemesi vs. onun amatör biri olduğunu düşünmemi sağladı. bu yüzden ilk defa böyle birisine biraz sempati duydum. hem zaten patlamış, yakayı ele vermiş; olaydaki potansiyel mağduriyetler en aza inecek. :)

defi platformlarının en büyük handikaplarının güvenlik açıkları olduğunu zaten biliyoruz ama genelde flash loan saldırıları gördüğümüz için solana gibi ağlarda böyle şeylerin daha az yaşanabileceğini düşünüyordum. maalesef bu tür tehlikeler her zaman yaşanabiliyor ve biz son kullanıcılar olarak bu gibi durumlar karşısında epey çaresiziz.

bu arada patlakçı avraham'ın twitter hesabı buymuş: https://twitter.com/avi_eisen

bu da olaya ilişkin olarak yaptığı "karlı bir ticaret" açıklaması: https://twitter.com/avi_eisen/status/1581326197241180160