Tinyman, une plate-forme de négociation décentralisée basée à Algorand, a révélé qu'elle avait subi une attaque de pirate informatique, qui a commencé le 1er janvier dernier, violant certains des pools du protocole après avoir provoqué une vulnérabilité jusque-là inconnue dans ses contrats intelligents.
Selon la publication officielle Tinyman, l'attaque a entraîné la perte de certains ASA dans les premières heures. Les pirates ont alors déclenché les adresses des portefeuille et a créé un fonds pour détourner environ 3 millions de dollars. Pour mener à bien l'attaque, les pirates ont ciblé les pools et ont commencé à échanger une partie de leurs fonds et à créer des jetons.
Il s'agissait d'un bug inconnu dans la gravure de jetons que les pirates auraient exploité et auraient réussi à acquérir "deux des mêmes actifs au lieu de deux actifs différents", selon la publication, ce qui était favorable aux voleurs, car "l'actif gobtc" était nettement plus valeur que le jeton ALGO d'Algorand. Ils ont ensuite immédiatement changé pour lever plus de fonds et continuer le piratage.
Tinyman a affirmé que les attaquants avaient également échangé des pools avec des pièces stables pour obtenir le plus de valeur et ainsi déplacé ces actifs vers d'autres portefeuilles en chaîne connus et des échanges centralisés de crypto-monnaie.
Tinyman a assuré que tous les utilisateurs concernés seront remboursés et que l'équipe travaille actuellement sur des plans de compensation. Toutefois, il a indiqué qu'ils ne pouvaient empêcher aucun type de transaction sur le marché. blockchain en raison du caractère restrictif des contrats.
Pour tenter de contrôler l'intensité des dégâts, Tinyman a également demandé aux utilisateurs de retirer tous leurs revenus de tous les contrats liés au protocole. De plus, toutes les routes de liquidité des applications Web ont été bloquées et remplacées par des avis d'alerte de sécurité de la communauté.
Dans un tweet, la plateforme a prévenu ses utilisateurs qu'une attaque de hacker était en cours ce lundi (03e). En outre, environ 2 millions de dollars de divers actifs numériques dans les pools sont toujours bloqués. Tinyman a conseillé à chacun de retirer ses liquidités le plus rapidement possible. Il a également averti que toute perte de fonds après le 4 janvier sera à la charge de l'utilisateur.
Nous tenons à avertir à nouveau nos utilisateurs que l'exploit est toujours en cours et qu'il reste encore 2 millions de dollars de valeur dans les pools. Nous conseillons à tous nos utilisateurs de retirer leur liquidité dès que possible.
– Tinyman (@tinymanorg) 3 janvier 2022