A Tinyman, plataforma de negociação descentralizada baseada em Algorand, revelou que sofreu um ataque hacker, iniciado no último dia 1º de janeiro, violando alguns dos pools do protocolo após causar uma vulnerabilidade anteriormente desconhecida em seus contratos inteligentes.
De acordo com a publicação oficial da Tinyman, o ataque resultou em uma perda de alguns ASAs nas primeiras horas. Os hackers então acionou os endereços das carteira e criou um fundo para desviar uma quantia estimada em US$ 3 milhões. Para executar o ataque, os hackers visaram os pools e começaram a trocar uma parte de seus fundos e a criar tokens.
O era bug desconhecido na queima de tokens que os hackers teriam explorado e conseguido adquirir “dois dos mesmos ativos ao invés de dois ativos diferentes”, segundo a publicação, o que foi favorável para os ladrões, já que o “ativo gobtc” era significativamente mais valioso do que o token ALGO de Algorand. Eles então, imediatamente, trocaram para arrecadar mais fundos e continuar com o hack.
A Tinyman afirmou que os invasores também trocaram pools com stablecoins para conseguir o maior valor e assim retiraram esses ativos para outras carteiras on-chain e bolsas de criptomoedas centralizadas conhecidas.
A Tinyman garantiu que todos os usuários afetados serão reembolsados e que a equipe está atualmente trabalhando em planos de compensação. No entanto, mencionou que eles não poderiam impedir qualquer tipo de transação no blockchain devido à natureza restritiva dos contratos.
Na busca de tentar controlar a intensidade do dano, a Tinyman ainda pediu aos usuários que retirassem toda a sua renda de todos os contratos relacionados ao protocolo. Além disso, todas as rotas de liquidez do aplicativo para web foram bloqueadas e substituídas por avisos de alerta para segurança da comunidade.
Em um tuíte, a plataforma avisou seus usuários de que ataque hacker segue em curso nesta segunda-feira (03). Além disso, cerca de US$ 2 milhões em vários ativos digitais nos pools ainda estão bloqueados. A Tinyman aconselhou a todos que retirassem sua liquidez o mais rápido possível. E alertou também que qualquer perda de fundos após 4 de janeiro será de responsabilidade do usuário.
We would like to warn our users again that the exploit is still going and there is still 2m$ worth of value in the pools. We advise all our users to remove their liquidity as soon as possible.
— tinyman.algo (@tinymanorg) January 3, 2022