Новый год не понравился Algorand сообщества, так как децентрализованная торговая платформа Tinyman, построенная в сети, подверглась атаке 1 января 2022 года. Это последовало за годом повышенных краж, в результате которых более 10 миллиардов долларов потеряны из-за мошенничества и взломов DeFi. В новом Сообщение блога, Tinyman теперь подробно описал роковой эксплойт, который обошелся платформе DeFi примерно в 3 миллиона долларов.
Злоумышленник смог использовать некоторые уязвимости в смарт-контрактах сети, которые обеспечивали несанкционированный доступ к пулам, из которых он мог извлекать токены.
1. Как многие из вас знают, 1/2 января произошло нападение на Tinyman Pools.
Атака использует ранее неизвестную ошибку в контракте и позволяет злоумышленнику вывести активы из пула, на которые он не имеет права.— Крошечный человек (@tinymanorg) 2 января 2022 г.
Это «привело к утечке определенных ASA в первые часы атаки, что привело к увеличению нестабильности сразу после этого», — отметили сотрудники Tinyman, добавив, что в настоящее время проводится дальнейшее расследование атаки.
Они действительно предоставили ранний прогноз атаки, который предполагал, что первые злоумышленники активировали адреса своих кошельков и внесли начальный фонд для взлома. За этим последовало выполнение транзакций с целевыми пулами, обмен некоторыми токенами и добыча некоторых токенов пула.
Ошибка была использована путем сжигания жетонов пула, что позволило хакерам получить два одинаковых актива вместо двух разных активов. Злоумышленники продолжали сжигать и обменивать более 17 транзакций, пока они не украли средства на сумму около 3 миллионов долларов на момент вывода. Сообщение в блоге добавлено,
«Следующий набор действий злоумышленников показывает, как они обменивались пулами со стейблкоинами, чтобы извлечь большую часть стоимости и вывести эти активы на другие сетевые кошельки и признанные централизованные биржи».
Сеть также отметила, что многие другие кошельки теперь используют эту ошибку, предупреждая, что «эти люди могут быть признаны такими же виновными, как и первые злоумышленники».
Всех пользователей немедленно попросили вывести свою ликвидность из всех контрактов, связанных с Tinyman, поскольку ни один из них не может быть отменен или приостановлен из-за полностью децентрализованной структуры сети. Оставшаяся ликвидность в сети составила около 5 миллионов долларов по сравнению с 43 миллионами долларов ранее.
Из-за недавно обнаруженного эксплойта мы получили ликвидность от Tinyman на токене TINY — мы обратили внимание на то, что наш пул ликвидности также может быть затронут.
Мы советуем всем также потреблять свою ликвидность, пока не узнаем больше о возможных решениях.— TinyChart (@tinychartorg) 2 января 2022 г.
План возврата активов еще не объявлен командой, которая отметила, что вела переговоры с правоохранительными органами и сторонними приложениями, с которыми взаимодействовали адреса этих кошельков. Однако не стоит задерживать дыхание при восстановлении, учитывая, что эти активы почти никогда не возвращаются, если только хакер не оказывается готовым к сотрудничеству.
В то время как жертвам взлома Poly Network на 610 миллионов долларов повезло, что их средства вернули, анонимность и децентрализация экосистемы DeFi затрудняют отслеживание и преследование таких злоумышленников. Растущая тенденция взломов и мошенничества DeFi неизбежно вылилась из прошлого года и, как многие ожидают, со временем только усилится.