Un hacker logra sustraer 100 millones de dólares de un DEX de Solana aprovechando sus ineficiencias

Emilio J. Pérez
| 3 min read

 

El enésimo ataque cometido sobre el ecosistema crypto ha tenido como objetivo a la red Solana, mediante el robo de más de 100 millones de dólares  a través de el DEX Mango. El delito fue cometido el pasado 11 de Octubre.

En esta ocasión, más que vulnerar la seguridad de la plataforma, lo que se ha hecho ha sido aprovechar las propias ineficiencias de la misma, realizando una serie de operaciones que han tenido por objeto manipular el valor del token MNGO.

¿Qué es Mango?

Primeramente tenemos que explicar qué es Mango, pues sólo así comprenderemos cómo se ha podido producir este asalto.

Mango es un exchange descentralizado basado en Solana que ofrece entre otras cosas negociar con futuros y otros derivados a precios bajos. El token nativo de Mango es MNGO.

Captura de la portada web de Mango / Fuente: mango.markets

A su vez Mango está asociado con la plataforma Solend desde hace unos meses, cuando entre ambos salieron al rescate de una ballena de Solana que contaba con una deuda de 207 millones de dólares

Una manipulación con nefastas consecuencias 

A consecuencia del ataque, el token MNGO cayó un -43%, pasando de 0,0386 $ a 0,0217 $ en un flash crash donde llegamos a ver máximos de 0,1557 $, lo que por supuesto evidencia una clara manipulación de mercado:

Detalle cotización MNGO / Fuente: TradingVIew

Por su parte, el token SOL de Solana también se vio afectado por las noticias, pues al fin y al cabo Mango es una aplicación que se monta sobre su blockchain. Sin embargo la caída resultó de un -1,5% únicamente, pasando de 31,29 $ a 30,80 $, lejos de las cifras de derrumbe que presentó MNGO:

Detalle de la cotización de SOL / Fuente: TradingView

Donde el impacto sí que resultó más doloroso fue en la cuantía de tokens SOL bloqueados o TVL, que en cuestión de 24 horas ha sufrido una merma del -20% y cae a niveles de 2021 perdiendo así el umbral psicológico de los 1.000 millones de dólares:

Detalle evolución TVL total de Solana / Fuente: DeFiLlama

Operativa del robo

Para efectuar el robo el hacker utilizó dos cuentas diferentes. Con la primera de ellas empleó 5 millones de dólares en USDC para comprar MNGO y ponerse corto. Con la segunda cuenta invirtió otros 5 millones en USDC para comprar también MNGO.

 

El hacker da la cara y presenta una propuesta de rescate

Como si de una película de espías se tratase, el hacker (o hackers, no se sabe si es una persona o varias) se ha dado a conocer y ha propuesto devolver parte del dinero robado siempre que Mango utilice sus reservas para deudas incobrables, estimadas en unos 70 millones de dólares.

Captura de la plataforma de votación para las condiciones de rescate / Fuente: DAO Mango

La propuesta ha de ser votada y en estos momentos se dilucida aquí. Por el momento gana la opción del “sí”, aunque son necesarios muchos millones de votos para alcanzar el requisito de aceptación. 

¿Qué sabemos a estas horas?

Por el momento Mango ha bloqueado los movimientos en su plataforma en un intento porque se recupere el valor de MNGO y los usuarios no tengan que asumir pérdidas irreversibles, tal y como se han apresurado a indicar los responsables del proyecto a través de su cuenta oficial de Twitter:

Diferentes agregadores de información del universo crypto ya han recogido esta circunstancia en sus aplicaciones, como por ejemplo hemos podido comprobar en CoinGecko, donde sobre el valor aparece un aviso de que un robo de 100 millones de dólares ha obligado al cierre temporal del protocolo:

Detalle del aviso sobre MNGO en el portal CoinGecko / Fuente: CoinGecko