Tinyman abriu sobre o último ataque que começou em 1º de janeiro. Alguns “usuários não autorizados” violaram alguns dos pools do protocolo após comprometer uma vulnerabilidade anteriormente desconhecida em seus contratos inteligentes.
Tinyman comprometido
De acordo com a postagem oficial do blog, o ataque resultou em uma fuga de certos ASAs nas primeiras horas. Isso, por sua vez, induziu uma volatilidade massiva. Tinyman revelou que o hack ativou seus endereços de carteira e depositou um fundo de semente para a violação. Para executar o ataque, os perpetradores visaram essencialmente os pools e começaram a trocar uma parte de seus fundos e a cunhar Tokens de Pool.
Era um bug desconhecido na queima de Tokens de Pool que os perpetradores teriam explorado e conseguido adquirir “dois dos mesmos Ativos em vez de dois Ativos diferentes”.
De acordo com a plataforma, isso era favorável para os perpetradores, pois o “ativo gobtc” era significativamente mais valioso do que o token nativo ALGO de Algorand. Eles imediatamente trocaram contra ele para arrecadar mais fundos e continuar com a exploração.
Tinyman alegou que os invasores também trocaram pools com stablecoins para pescar o maior valor e retiraram esses ativos para outras carteiras on-chain e bolsas de criptomoedas centralizadas conhecidas.
O ataque continua
Enquanto se desculpava por todo o evento, Tinyman garantiu que todos os usuários afetados serão reembolsados e que a equipe está atualmente trabalhando em planos de compensação. No entanto, também mencionou que eles não poderiam obstruir qualquer tipo de transação no blockchain devido à natureza sem permissão dos contratos.
Em uma tentativa de controlar a intensidade do dano, Tinyman pediu aos provedores de liquidez que retirassem toda a sua liquidez de todos os contratos relacionados ao protocolo. Além disso, todas as rotas de liquidez do web app foram bloqueadas e substituídas por placas de alerta para proteger a comunidade.
Qualquer perda de fundos após as próximas 24 horas (9h UTC do dia 4 de janeiro) será de responsabilidade dos usuários, pois não há nada que possamos fazer para impedir este evento, a responsabilidade dos ativos remanescentes estão nas mãos dos proprietários da carteira .
- Tinyman (@tinymanorg) 3 de janeiro de 2022
Em ainda outro recente Tweet, a plataforma notificou seus usuários de que a exploração nos pools continua. Além disso, cerca de US $ 2 milhões em vários ativos digitais nos pools ainda estavam bloqueados. Tinyman mais uma vez aconselhou a todos que retirassem sua liquidez o mais rápido possível. Ele também alertou que qualquer perda de fundos após as 9h UTC do dia 4 de janeiro será de responsabilidade do usuário.
Binance Grátis $ 100 (Exclusivo): Use este link para se registrar e receber $ 100 grátis e 10% de desconto nas taxas Binance Futures no primeiro mês (termos).
Oferta especial PrimeXBT: Use este link para se registrar e inserir o código POTATO50 para obter 25% de desconto nas taxas de negociação.
Fonte: https://cryptopotato.com/3-million-lost-as-an-algorand-based-decentralized-trading-platform-exploited/