Cómo la manipulación de mercado llevó a un exploit de US$100 millones en el exchange DeFi de Solana Mango

Un astuto trader de criptomonedas utilizó millones de dólares para manipular los precios de los tokens MNGO de Mango en el exchange descentralizado homónimo (DEX) para finalmente drenar más de US$116 millones en liquidez de la plataforma.

Read this article in English.

El exchange permite que sus usuarios comercialicen con bajas tarifas futuros al contado y perpetuos utilizando su interfaz de trading en la cadena. Alrededor de US$30 millones en criptomonedas se comercializaron en el exchange en las últimas 24 horas, según datos de CoinGecko.

El movimiento se produjo en medio del drama que rodea una gran deuda dentro del ecosistema Solana DeFi que involucró a la aplicación de préstamos Solend y Mango.

Sigue a CoinDesk en Español.

Como se informó esta mañana, Mango y Solend se unieron a principios de este año para reunir los fondos y así poder rescatar a la gigante ballena de Solana, que tenía una deuda de US$207 millones repartida en múltiples plataformas de préstamos. Se suponía que esta medida respaldaría las potenciales pérdidas en todo el ecosistema Solana si la posición de la ballena fuera a ser liquidada.

Cómo se produjo el exploit

La DeFi Mango de Solana, como muchos otros DEX, se basan en contratos inteligentes para hacer coincidir las operaciones entre los usuarios de finanzas descentralizadas (DeFi, por sus siglas en inglés). Esto es fundamental para entender cómo se produjo el exploit o fallo: los contratos inteligentes son completamente descentralizados y no cuentan con supervisión de ninguna parte centralizada, lo que significa que un astuto y deshonesto trader puede desplegar suficiente dinero para aprovecharse de las lagunas de cualquier protocolo sin el riesgo de que alguien intervenga para detener el ataque antes de que ocurra.

Para llevar a cabo el ataque, se utilizaron dos cuentas. En la cuenta “A”, el trader inicialmente utilizó 5 millones de USD Coin (USDC) para comprar 483 millones de MNGO y ponerse en corto o apostar contra el activo. Luego, en la cuenta “B”, el trader utilizó otros 5 millones de USDC para comprar la misma cantidad de MNGO, lo que resulta en 10 millones de USDC para cubrir efectivamente su posición, según muestran los datos de Mango señalados por el jefe de derivados de Genesis, Joshua Lim.

Luego, el trader usó más fondos para comprar tokens de MNGO al contado y consiguió que su precio pasara de solo 2 centavos a 91 centavos en un lapso de diez minutos. Esto fue posible porque el MNGO al contado era un token poco negociado con escasa liquidez, lo que le permitió al infame trader manipular los precios de inmediato.

A medida que los precios del MNGO al contado aumentaban, la cuenta “B” del trader rápidamente acumuló alrededor de US$420 millones en ganancias no realizadas. Luego, el atacante retiró más de US$116 millones en liquidez de todos los tokens disponibles en Mango, algo que aniquiló al protocolo.

La totalidad de la liquidez de Mango se agotó de todos los tokens ofrecidos a los usuarios en la plataforma. (Mango).

Los precios al contado de MNGO volvieron inmediatamente a 2 centavos y cayeron por debajo de los precios que el trader había utilizado al principio para comprar los futuros MNGO en la cuenta “A”. Al momento de publicación, la cuenta tiene más de US$6 millones en ganancias, aunque no hay liquidez suficiente en la plataforma para pagarle.

En total, el perspicaz trader usó más de 10 millones de USDC para retirar más de US$116 millones desde Mango pagando comisiones mínimas y haciendo todo lo permitido dentro de los parámetros del diseño de la plataforma. Mango no fue hackeada, funcionó exactamente como debía, y un trader ingenioso, aunque con intenciones nefastas, logró arrancar la liquidez de los tokens.

Es importante destacar que esta estrategia manipulativa no funciona en dos exchanges centralizados, dado que si un trader hace ofertas elevadas en uno, los precios automáticamente subirán en ese exchange y muchos otros inmediatamente aumentarán el precio de los activos en sus propios sistemas, lo que significa que es poco probable que la estrategia genere ganancias.

Mientras tanto, los desarrolladores de Mango dijeron el miércoles que los oráculos de precios Switchboard y Pyth actualizaron el precio de referencia de MNGO por encima de US$0,15, algo que va en línea con la subida de precios de FTX y Ascendex. Los oráculos son herramientas de terceros que obtienen datos desde fuera de la blockchain hacia dentro de ella.

“Ninguno de los proveedores de oráculos falló. El informe de precios del oráculo funcionó como debía”, escribió Mango en Twitter.

“El atacante hizo uso del token de mango, que es un token escasamente comercializado”, escribió en un tuit Kanav Kariya, presidente de Jump Crypto, un fondo de criptomonedas que ha respaldado fuertemente a Pyth.

“Los oráculos solamente se encargan de informar el precio. Tanto Pyth como Switchboard informaron con precisión los precios vigentes en los exchanges”, agregó Kariya. MNGO cayó 40% en las últimas 24 horas.

Este artículo fue traducido por Natalia Paulovsky.