消失的芒果：了解 MangoFarmSOL 退出騙局始末

撰文：CertiK

事件概覽

MangoFarmSOL 將自己定位為 Solana 網絡上的質押協議，鼓勵用戶存入 SOL 而獲得獎勵。該項目曾承諾在 1 月 10 日進行空投而獲得了 Solana 社區的關注。

然而，1 月 10 日的承諾從未兌現。2024 年 1 月 6 日，MangoFarmSOL 就實施了退出騙局，從項目合約中轉移了用戶存入的 13,512 枚 SOL（當時約 126 萬美元），又部署惡意前端，誤導用戶授權「緊急遷移」並在此盜取約 6 萬美元。這是我們在 2024 年至今發現的最大規模的退出騙局。

隨後，MangoFarmSOL 關閉了其社交賬戶和網站。

同之前我們報導的 xKingdom 事件一樣，此次事件再次凸顯了 DeFi 領域固有的退出騙局風險，強調了用戶警惕意識與團隊 KYC 的重要性。

騙局時間線

第一步：布下陷阱

① 1 月 3 日，該項目利用社交媒體 KOL 的推廣來提高其可信度並吸引更多用戶。

② 1 月 5 日，該團隊發表文章，聲稱將於 1 月 10 日空投 MANGO 代幣，質押 SOL 以及推薦其他用戶等行為均可獲得更多獎勵。

③ 1 月 3 日至 1 月 7 日，用戶開始將 SOL 存入 MangoFarmSOL 的合約中。受到 MANGO 代幣空投承諾的誘惑，以及網絡營銷的影響，該協議的 TVL 超過了 130 萬美元。

第二步：實施騙局

① 盜取合約資金：MangoFarmSOL 團隊發起騙局，將用戶存入 Mango 合約內的 13,514 SOL（約 126 萬美元）提取到錢包 8ggvi。

第一筆交易：135 枚 SOL 從 Mango 合約（Bfg5SM）轉移到錢包 8ggvi。

第二筆交易：13,379 枚 SOL 從 Mango 合約（Bfg5SM）轉帳至錢包 8ggvi。

② 部署惡意前端再次行騙：隨後，團隊還借助先前被盜事件，以「緊急遷移」為幌子，部署了含有惡意代碼的前端。該項目的官方社交媒體賬戶也發布了該惡意前端，誘騙用戶進行交易，導致了約 6 萬美元的額外資產被盜。

③ 徹底消失：MangoFarmSOL 隨後停用了其社交媒體賬戶並關閉了官方網站，並開始轉移資金。

第三步：資金轉移

Mango 合約被盜資金流向

① 初始轉移：Mango 合約中總共有 13.5K 枚 SOL，價值約 126 萬美元，被盜後被發送到地址 8ggvi…..ejND7。

② 混合\&轉換：接著，9,458 枚 SOL 被發送到 4nBETJ 以混淆資金鏈路；8ggvi 和 4nBE 中的所有 SOL 隨後都被轉換為 USDC。

③ 跨鏈至以太坊：這些 USDC 經過 Wormhole 從 Solana 網絡跨鏈到以太坊，並通過多次交易將這些 USDC 發送到 4 個不同的 ETH 地址。

380k USDC 經過 4 次交易跨鏈至 0x09e3

319k USDC 跨鏈至 0xc504

351k USDC 跨鏈至 0x6898

217k USDC 跨鏈至 0x8816

④ 最終清洗：進入以太坊網絡後，USDC 被換成 ETH。然後，被盜資金通過 Railgun（隱私混合器）進行清洗，並通過 eXch（即時交換）進行交換，以進一步混淆資金。

傳輸至 Railgun 的交易示例

傳輸至 eXch 的交易示例

惡意前端盜取資金流向

① 整合與轉換：通過惡意前端竊取的用戶資產被整合為 SOL，然後兌換成約 5.86 萬美元的 USDC。

② 通過 Allbridge 跨鏈至以太坊：這些 USDC 在 Allbridge 經過 2 筆交易跨鏈到以太坊網絡，地址為 0x7ca…..d8fec。

③ 最終清洗：橋接至以太坊的 USDC 被兌換為 26 枚 ETH。隨後，這些資金通過多次存入 FixedFloat。

被盜資金最終分布

跨鏈到以太坊網絡的被盜資金最終主要集中在三個地方：

• eXch: 約 292ETH
• Railgun: 約 263ETH
• FixedFloat: 約 26ETH

經驗總結

MangoFarmSOL 騙局是 2024 年迄今為止最大規模的退出騙局。該騙局的手法與 2023 年 Harvest Keeper 事件有相似之處。這兩個項目在第一次盜竊發生之後又部署了惡意前端，進一步盜取用戶資金。

MangoFarmSOL 退出騙局預計造成了 132 萬美元的損失，凸顯了去中心化項目審查的迫切需要。