新的一年對 Algorand 社區來說並不好,因為建立在網絡上的去中心化交易平台 Tinyman 在 1 年 2022 月 10 日遭到攻擊。 在此之後的一年裡,DeFi 被盜損失超過 3 億美元詐騙和黑客。 在一篇新的博客文章中,Tinyman 現在詳細介紹了導致 DeFi 平台損失約 XNUMX 萬美元的致命漏洞。
攻擊者能夠利用網絡智能合約中的一些漏洞,這些漏洞提供對池的未經授權的訪問,他們可以從中提取令牌。
1- 正如你們許多人所知,1 月 2 日/XNUMX 日,Tinyman Pools 發生了攻擊。
該攻擊利用了合同中先前未知的錯誤,並允許攻擊者從他們無權使用的池中提取資產。- Tinyman (@tinymanorg) 2022 年 1 月 2 日
Tinyman 的團隊指出,這“導致某些 ASA 在攻擊的最初幾個小時內耗盡,導致緊隨其後的波動性增加”,並補充說正在對攻擊進行進一步調查。
他們確實提供了攻擊的早期預測,這表明第一批肇事者激活了他們的錢包地址並為這次黑客行為存入了種子基金。 隨後與目標池進行交易,交換一些代幣,並鑄造一些池代幣。
該漏洞是通過銷毀 Pool Tokens 來利用的,這允許黑客接收兩個相同的資產而不是兩個不同的資產。 攻擊者繼續銷毀和交換超過 17 筆交易,直到他們在取款時竊取了價值約 3 萬美元的資金。 博文補充說,
“肇事者的下一組行動表明他們如何用穩定幣交換池以提取大部分價值並將這些資產提取到其他鏈上錢包和公認的中心化交易所。”
該網絡還指出,許多其他錢包現在正在利用這個漏洞,並警告說“這些人可能會像最初的攻擊者一樣被追究責任。”
所有用戶都被立即要求從所有 Tinyman 相關合約中提取他們的流動性,因為由於網絡的完全去中心化結構,它們都不能被撤銷或暫停。 該網絡上的剩餘流動性約為 5 萬美元,低於之前的約 43 萬美元。
由於最近發現的漏洞,我們從 Tinyman 中提取了 TINY 代幣的流動性——我們注意到我們的流動性池也可能受到影響。
我們建議任何人也撤出他們的流動性,直到我們聽到更多關於可能的解決方案。— TinyChart (@tinychartorg) 2022 年 1 月 2 日
該團隊尚未宣布資產追回計劃,並指出正在與法律當局和這些錢包地址與之交互的第三方應用程序進行談判。 然而,考慮到這些資產幾乎從未被收回,人們不應該屏住呼吸,除非黑客證明是合作的。
雖然 610 億美元的 Poly Network 黑客攻擊的受害者很幸運能夠收回他們的資金,但 DeFi 生態系統的匿名性和去中心化使得追踪和起訴此類攻擊者相對困難。 DeFi 黑客和詐騙的上升趨勢不可避免地從去年開始蔓延,許多人預計隨著時間的推移會進一步增加。
資料來源:https://ambcrypto.com/another-year-another-hack-algorands-defi-platform-tinyman-exploited-for-3m/