Quelles sont les manœuvres douteuses derrière le pirate ayant volé des centaines de millions de dollars sur Mango ?
TechFlow SélectionTechFlow Sélection
Quelles sont les manœuvres douteuses derrière le pirate ayant volé des centaines de millions de dollars sur Mango ?
Le pirate le plus doué pour maîtriser DeFi et les DAO.
Ce matin à l’heure de Pékin, la plateforme décentralisée Mango dans l’écosystème Solana a été piratée, entraînant une perte s’élevant à 115 millions de dollars.
Mango a ensuite publié un tweet indiquant qu'il prenait des mesures pour y faire face et a demandé au pirate de contacter volontairement l'équipe afin de discuter d’un remboursement (avec une partie conservée comme récompense) : « Nous mettons en œuvre des mesures pour que des tiers gèlent les liquidités. Par précaution, nous désactiverons les dépôts sur l'interface, et fournirons des mises à jour selon l'évolution de la situation. »
Le protocole de stablecoin algorithmique UXD Protocol de l’écosystème Solana a indiqué que le montant total des fonds affectés par l’attaque de Mango était proche de 20 millions de dollars, tout en affirmant que son fonds d'assurance suffisait à couvrir les pertes.
Le protocole d'agrégation de rendements Tulip Protocol de l’écosystème Solana a également vu environ 2,5 millions de dollars touchés par cette attaque, tout en affirmant disposer de fonds suffisants pour absorber les pertes. (Ajouté par TechFlow - absent dans le texte original.)
Contrairement aux scénarios habituels d'attaques précédentes, ce pirate est particulièrement « théâtral » : il a publié une nouvelle proposition de gouvernance sur Realms :
Il demande que l'équipe officielle de Mango utilise les fonds du trésor (70 millions de dollars) pour rembourser les créances irrécouvrables des utilisateurs ; s’il accepte, le pirate restituera une partie des fonds volés, tout en exigeant de ne pas faire l’objet d’une enquête pénale ni d’un gel d’actifs.
Un passionné de cryptomonnaies a commenté que le pirate de Mango maîtrise bien DeFi et DAO.
À ce jour, cette proposition a recueilli 32,9 millions de votes favorables, dont 32,41 millions provenant directement du pirate lui-même, soit environ la moitié du seuil requis pour adoption (67,09 millions).
Manipulation du prix du MNGO pour lancer l’attaque
En combinant le rapport d’enquête du chercheur en cryptographie @Joshua Lim et le communiqué officiel de @Mango, voici la reconstitution de l’attaque :
Le pirate a d’abord transféré 5 millions de dollars chacun vers deux adresses A et B sur Mango :
-
A : CQvKSNnYtPTZfQRQ5jkHq8q2swJyRsdQLcFcj3EmKFfX ;
-
B : 4ND8FVPjUGGjx9VuGFuJefDWpg3THb58c277hbVRnjNa ;
Ensuite, le pirate a utilisé l’adresse A pour ouvrir une position courte massive sur le contrat perpétuel MNGO sur Mango, à un prix d’entrée de 0,0382 dollar, avec une exposition de 483 millions de MNGO ; simultanément, il a ouvert une position longue identique sur l’adresse B, au même prix d’entrée de 0,0382 dollar. (Remarque : La raison de cette double position est que la profondeur du marché sur Mango étant faible, il aurait été impossible d’atteindre une telle exposition sans jouer contre soi-même.)

(Position courte sur MNGO)
Après avoir constitué ces positions initiales, le pirate a attaqué le prix au comptant du MNGO sur plusieurs plateformes (FTX, Ascendex), provoquant une hausse de 5 à 10 fois. Ce prix a été transmis via l’oracle Pyth à Mango, amplifiant ainsi la hausse. Finalement, le prix du MNGO sur Mango est passé de 0,0382 à 0,91 dollar.

(Évolution du prix du MNGO)
À ce stade, le profit de la position longue du pirate atteignait 483 millions × (0,91 - 0,0382) = 420 millions de dollars. Il a alors utilisé sa valeur nette pour emprunter sur Mango. Heureusement pour la plateforme, la liquidité limitée a empêché un prélèvement total, seuls environ 115 millions de dollars ont été retirés, composés notamment de : 54,41 millions d’USDC, 768 500 MSOL (25,3 millions), 761 600 SOL (23,47 millions), 281 BTC (5,356 millions), 3,26 millions d’USDT, 2,354 millions de SRM (1,73 million) et 32,41 millions de MNGO (667 000 dollars), comme illustré ci-dessous :

(Récapitulatif des fonds volés)
Après l’incident, Mango a annoncé avoir gelé les instructions du programme à 10h37 le 12 octobre, empêchant toute interaction supplémentaire avec le protocole.
En réalité, cette attaque aurait pu être évitée.
Dès mars dernier, un utilisateur Discord nommé @Ozcal avait alerté la communauté qu’aucune limite n’était imposée sur les positions MNGO sur Mango, ce qui pouvait permettre à un pirate d’exploiter une attaque de prix pour dérober des actifs.
Mais personne n’a prêté attention à ce bug… sauf le pirate.

(Capture d’écran du chat Discord Mango, mars 2022)
« Peut-être limiter les positions dérivées selon la liquidité au comptant (là où l’oracle est utilisé) pourrait éviter qu’une attaque de prix au comptant impacte les marchés dérivés », a suggéré Joshua Lim.
Le projet céderait-il au pirate ?
Après l’attaque, le pirate a publié une nouvelle proposition, demandant à l’équipe officielle d’utiliser les fonds du trésor (70 millions de dollars) pour rembourser les créances défectueuses. Actuellement, le trésor s’élève à environ 144 millions de dollars, incluant 88,5 millions en jetons MNGO et près de 60 millions en USDC.
Le pirate affirme que s’il accepte cette solution, il restituera une partie des fonds volés, tout en demandant à ne pas subir d’enquête pénale ni de gel d’actifs. « Si cette proposition est adoptée, je transférerai les MSOL, SOL et MNGO de ce compte vers l’adresse publiée par l’équipe Mango. Le trésor servira à couvrir les créances résiduelles, et tous les utilisateurs concernés seront intégralement compensés… Une fois les jetons restitués comme décrit, aucune enquête pénale ni gel d’actifs ne devrait suivre. »

Selon les calculs précédents, les fonds que le pirate envisage de restituer représentent environ 49,43 millions de dollars, soit 42 % des fonds volés, signifiant qu’il garderait près de la moitié comme « récompense » — un taux bien supérieur aux plafonds habituellement proposés après des incidents similaires.
L’équipe officielle de Mango déclare que la meilleure solution actuelle est de communiquer avec l’attaquant.
« Les priorités de Mango DAO sont : empêcher toute perte supplémentaire inutile, assurer la sécurité des dépôts des utilisateurs, et tenter de sauvegarder une partie de la valeur de Mango DAO. Mango estime que la manière la plus constructive de résoudre ce problème est de poursuivre le dialogue avec la personne responsable de cet incident et contrôlant les fonds retirés du protocole, afin de chercher une solution amiable. »
MasterLi, expert juridique et fondateur de LegalDAO, estime que : quelle que soit la législation nationale considérée, et quel que soit l’issue du vote, la nature criminelle du pirate est indéniable. Tenter d’échapper à sa responsabilité personnelle par ce biais est irrecevable sous toutes les législations du monde.
« D’un autre côté, il y a la question des règles de gouvernance DAO. En l’absence d’entité juridique formelle pour le DAO, je considère que ses règles de gouvernance peuvent être vues comme un contrat implicite entre membres. Le pirate, ayant acquis des jetons par vol, participe à ce contrat et exerce un droit de proposition et de vote, ce qui est juridiquement intenable. Autrement dit, son droit de proposer et voter est fondamentalement entaché. Sur ce fondement, l’« équipe officielle » pourrait légitimement rejeter cette proposition (je ne sais pas si MangoDAO dispose d’un tel mécanisme), sans violer l’esprit du DAO. C’est comme si quelqu’un s’emparait de mon bulletin de vote pour élire à ma place : le scrutin serait clairement nul. »
On ignore encore si l’équipe officialisera ou appliquera finalement cette proposition. Au moment de la rédaction, la proposition du pirate a obtenu 32,9 millions de votes favorables, dont 32,41 millions provenant du pirate lui-même, loin du seuil de 67,09 millions requis.
Bienvenue dans la communauté officielle TechFlow
Groupe Telegram :https://t.me/TechFlowDaily
Compte Twitter officiel :https://x.com/TechFlowPost
Compte Twitter anglais :https://x.com/BlockFlow_News














