Tinyman, децентралізована торгова платформа на базі Algorand, виявила, що вона зазнала хакерської атаки, яка почалася 1 січня, зламавши деякі пули протоколу після того, як спричинила раніше невідому вразливість у розумних контрактах.
Згідно з офіційним виданням Tinyman, атака призвела до втрати деяких ASA протягом перших кількох годин. Тоді хакери задіяли адреси гаманець і створив фонд для розкрадання приблизно 3 мільйони доларів. Щоб здійснити атаку, хакери націлилися на пули і почали обмінювати частину своїх коштів і створювати токени.
Це була невідома помилка у спалюванні токенів, які хакери скористалися б і зуміли отримати «два однакових активу замість двох різних активів», згідно з публікацією, яка була вигідною для злодіїв, оскільки «актив gobtc ” був значно ціннішим, ніж токен ALGO від Algorand. Потім вони негайно перейшли, щоб зібрати більше коштів і продовжити хак.
Tinyman стверджував, що зловмисники також обмінювали пули стейблкоінами, щоб отримати максимальну цінність, і таким чином виводили ці активи на інші гаманці в мережі та відомі централізовані біржі криптовалют.
Tinyman запевнив, що всі постраждалі користувачі отримають відшкодування, і що команда зараз працює над планами компенсації. Однак було зазначено, що вони не можуть запобігти будь-якому типу транзакцій на blockchain через обмежувальний характер контрактів.
У прагненні спробувати контролювати інтенсивність шкоди, Tinyman навіть попросив користувачів вилучити всі свої доходи з усіх контрактів, пов’язаних з протоколом. Крім того, усі маршрути ліквідності з веб-додатка були заблоковані та замінені сповіщеннями про безпеку спільноти.
У твіті платформа попередила своїх користувачів, що цього понеділка (03) триває хакерська атака. Крім того, різні цифрові активи в пулах на суму близько 2 мільйонів доларів досі заблоковані. Tinyman порадив всім якомога швидше забрати свою ліквідність. Він також попереджає, що будь-яку втрату коштів після 4 січня нестиме користувач.
Ми хочемо ще раз попередити наших користувачів, що експлойт все ще триває, а в пулах все ще є 2 мільйони доларів. Ми радимо всім нашим користувачам якнайшвидше видалити свою ліквідність.
— Tinyman (@tinymanorg) Січень 3, 2022