原文(英)別の年、別のハック:AlgorandのDeFiプラットフォームTinymanが300万ドルで悪用
2022-01-04 03:30:24
ネットワーク上に構築された分散型取引プラットフォームTinymanが2022年1月1日に攻撃を受けたため、新年はAlgorandコミュニティにとってうまく鳴りませんでした。 100億ドル以上 DeFi詐欺やハッキングで迷子になっています。 新しいで ブログ投稿、Tinymanは、DeFiプラットフォームに推定300万ドルのコストをかけた運命的なエクスプロイトについて詳しく説明しました。
攻撃者は、トークンを抽出できるプールへの不正アクセスを提供するネットワークのスマートコントラクトのいくつかの脆弱性を悪用することができました。
1-多くの人が、1月1日と2日にタイニーマンプールで攻撃が発生したことを知っています。
この攻撃は、契約内のこれまで知られていなかったバグを悪用し、攻撃者が権利のないプールから資産を引き出すことを可能にします。— Tinyman(@tinymanorg) 2022年1月2日
これにより、「攻撃の最初の数時間で特定のASAが枯渇し、直後のボラティリティが増加しました」とTinymanのチームは指摘し、攻撃のさらなる調査が行われていると付け加えました。
彼らは攻撃の早期の予測を提供しました。これは、最初の加害者がウォレットアドレスをアクティブにし、ハッキングのシードファンドを預け入れたことを示唆していました。 これに続いて、ターゲットプールとのトランザクションを実行し、いくつかのトークンを交換し、いくつかのプールトークンを作成しました。
このバグは、ハッカーが2つの異なるアセットではなく、2つの同じアセットを受け取ることを可能にするプールトークンを焼き付けることによって悪用されました。 攻撃者は、引き出し時に約300万ドル相当の資金を盗むまで、17を超えるトランザクションを焼き付けて交換し続けました。 ブログ投稿が追加されました、
「加害者の次の一連の行動は、プールをステーブルコインと交換してほとんどの価値を引き出し、これらの資産を他のオンチェーンウォレットや認識された集中型取引所に引き出す方法を示しています。」
ネットワークはまた、他の多くのウォレットがこのバグを悪用していることを指摘し、「これらの人々は最初の攻撃者と同じように責任を問われる可能性がある」と警告しています。
ネットワークの完全に分散化された構造のため、すべてのユーザーは、Tinyman関連のすべての契約から流動性を引き出すようにすぐに求められました。これは、契約を元に戻したり一時停止したりすることができないためです。 ネットワークの残りの流動性は約500万ドルで、以前の約4,300万ドルから減少しました。
最近発見されたエクスプロイトにより、TINYトークンでTinymanから流動性を引き出しました。流動性プールも影響を受ける可能性があることがわかりました。
考えられる解決策についてもっと聞くまで、流動性を引き出すことをお勧めします。— TinyChart(@tinychartorg) 2022年1月2日
資産回収計画はまだチームによって発表されておらず、これらのウォレットアドレスが相互作用したのは法当局やサードパーティのアプリケーションと話し合っていたと述べています。 ただし、ハッカーが協力的であることが判明しない限り、これらの資産がほとんど回収されないことを考えると、回復に息を呑むべきではありません。
6億1000万ドルのポリネットワークハッキングの犠牲者は幸運にも資金を返還できましたが、DeFiエコシステムの匿名性と分散化により、そのような攻撃者を追跡して起訴することは比較的困難です。 DeFiのハッキングや詐欺の増加傾向は、必然的に昨年から波及し、多くの人が時間とともにさらに増大すると予想されています。