Il 18 ottobre, Moola Market, una piattaforma di prestito di criptovalute di dimensioni decenti, è stata sfruttata tramite la manipolazione dei prezzi del suo token nativo, MOO, che ha una liquidità relativamente bassa. Tuttavia, CELO, un ecosistema di cui Moola Markets fa parte, non lo fa.
L'exploit era di natura simile al recente fiasco di Mango Markets, poiché l'attaccante ha utilizzato il token nativo di una piattaforma con bassa liquidità per eseguire una serie di operazioni insolite che, sebbene non tecnicamente illegali, costituiscono un abuso della piattaforma.
Prezzo MOO aumentato del 6,400%
Per generare un enorme pagamento, l'attaccante ha acquistato MOO per un valore di circa $ 45k, che è stato poi messo a garanzia per prendere in prestito CELO dalla piattaforma. Niente di straordinario finora. Tuttavia, l'attaccante ha utilizzato il CELO preso in prestito per acquistare più MOO.
Questa ricorsione alternata dell'acquisto di un token e del suo utilizzo come garanzia per l'altro è stata ripetuta più volte. Se questo sforzo fosse stato eseguito con due token ad alta liquidità, gli effetti sui loro prezzi sarebbero stati trascurabili.
Tuttavia, poiché MOO è un token con una liquidità molto bassa, l'acquisto costante di MOO è stato visto dalla blockchain come un improvviso interesse per il token, facendo salire il prezzo di uno sbalorditivo 6,400%. La squadra di Moola si è accorta subito del danno.
Stiamo indagando attivamente su un incidente @Moola_mercato. Tutte le attività su Moola sono state sospese. Si prega di non scambiare mToken.
Per lo sfruttatore, abbiamo contattato le forze dell'ordine e preso provvedimenti per rendere difficile la liquidazione dei fondi. Siamo disposti a negoziare un...
— Mercato di Moola 🐮 (@mercato di Moola) Ottobre 18, 2022
Sfortunatamente, quando hanno notato l'intraprendente trader che mostrava un indebito interesse per il token, l'attaccante è stato in grado di manipolare il prezzo di MOO abbastanza alto da acquistare un totale di $ 1.2 milioni di MOO, $ 740 CELO Euro ( cEUR), $ 644k CELO USD (cUSD) e $ 6.6 milioni di CELO. Complessivamente, sono stati presi in prestito fondi per un valore di circa 9.1 milioni di dollari, a partire da un deposito iniziale di 45 dollari.
Tornare in pista
Una volta che gli sviluppatori di Moola si sono accorti degli scambi, hanno immediatamente contattato l'attaccante tramite Twitter, promettendo un'azione legale se i fondi non fossero stati restituiti entro 24 ore. È importante notare che la piattaforma avrebbe avuto un ricorso legale limitato nel caso in cui l'attaccante si fosse rifiutato.
Tuttavia, le due parti sembrano aver raggiunto un accordo piuttosto rapidamente.
“In seguito all'incidente di oggi, il 93.1% dei fondi è stato restituito al multi-sig di Moola governance. Abbiamo continuato a sospendere tutte le attività su Moola e seguiremo con la community i passaggi successivi e riavviare in sicurezza le operazioni del protocollo Moola".
I restanti $ 500 sembrano rappresentare una taglia di bug per l'intraprendente attaccante: una somma molto più piccola di quella inizialmente guadagnata, ma comunque un ritorno del 1,000% + sul suo investimento originale di $ 45.
Binance Free $ 100 (esclusivo): Usa questo link per registrarti e ricevere $100 gratuiti e il 10% di sconto sulle commissioni su Binance Futures il primo mese (condizioni).
Offerta speciale PrimeXBT: Usa questo link per registrarti e inserire il codice POTATO50 per ricevere fino a $ 7,000 sui tuoi depositi.
Fonte: https://cryptopotato.com/making-500k-in-a-day-moola-market-hacker-gets-a-bounty-and-returns-stolen-funds/