Năm mới không mấy suôn sẻ đối với cộng đồng Algorand, vì nền tảng giao dịch phi tập trung Tinyman được xây dựng trên mạng đã bị tấn công vào ngày 1 tháng 1 năm 2022. Điều này tiếp sau một năm trộm cắp nghiêm trọng khiến DeFi mất hơn 10 tỷ đô la. lừa đảo và hack. Trong một bài đăng trên blog mới, Tinyman hiện đã trình bày chi tiết về vụ khai thác định mệnh khiến nền tảng DeFi ước tính khoảng 3 triệu đô la.
Kẻ tấn công đã có thể khai thác một số lỗ hổng trong các hợp đồng thông minh của mạng cung cấp quyền truy cập trái phép vào các nhóm mà từ đó chúng có thể trích xuất mã thông báo.
1- Như nhiều người trong số các bạn đã biết một cuộc tấn công đã xảy ra trên Tinyman Pools vào ngày 1/2 tháng 1.
Cuộc tấn công khai thác một lỗi chưa được biết trước đó trong hợp đồng và cho phép kẻ tấn công rút tài sản từ một nhóm mà họ không có quyền.– Tinyman (@tinymanorg) Ngày 2 tháng 1 năm 2022
Điều này “dẫn đến việc tiêu hao một số ASA nhất định trong những giờ đầu tiên của cuộc tấn công, dẫn đến sự biến động gia tăng ngay sau đó”, nhóm của Tinyman lưu ý, đồng thời cho biết thêm rằng cuộc điều tra thêm về cuộc tấn công đang được thực hiện.
Họ đã đưa ra một tiên lượng sớm về cuộc tấn công, điều này cho thấy rằng những thủ phạm đầu tiên đã kích hoạt địa chỉ ví của họ và gửi một quỹ hạt giống cho vụ hack. Tiếp theo là thực hiện các giao dịch với các nhóm được nhắm mục tiêu, hoán đổi một số token và đúc một số Pool Tokens.
Lỗi được khai thác bằng cách đốt Pool Tokens, cho phép tin tặc nhận hai tài sản giống nhau thay vì hai tài sản khác nhau. Những kẻ tấn công tiếp tục đốt và hoán đổi hơn 17 giao dịch cho đến khi chúng đánh cắp số tiền trị giá khoảng 3 triệu đô la tại thời điểm rút tiền. Bài đăng trên blog đã được thêm,
“Các hành động tiếp theo của thủ phạm cho thấy cách họ hoán đổi các pool bằng stablecoin để chiết xuất phần lớn giá trị và rút các tài sản này sang các ví trên chuỗi khác và các sàn giao dịch tập trung được công nhận”.
Mạng cũng lưu ý rằng nhiều ví khác hiện đang khai thác lỗi này, cảnh báo rằng “những người đó có thể bị coi là kẻ tấn công đầu tiên”.
Tất cả người dùng ngay lập tức được yêu cầu rút thanh khoản của họ khỏi tất cả các hợp đồng liên quan đến Tinyman vì không có hợp đồng nào trong số đó có thể bị đảo ngược hoặc tạm dừng do cấu trúc phân cấp hoàn toàn của mạng. Thanh khoản còn lại trên mạng là khoảng 5 triệu đô la, giảm so với khoảng 43 triệu đô la trước đó.
Do khai thác được tìm thấy gần đây, chúng tôi đã rút thanh khoản từ Tinyman trên mã thông báo TINY – chúng tôi nhận thấy rằng nhóm thanh khoản của chúng tôi cũng có thể bị ảnh hưởng.
Chúng tôi khuyên bất kỳ ai cũng nên kéo thanh khoản của mình cho đến khi chúng tôi biết thêm về các giải pháp khả thi.– TinyChart (@tinychartorg) Ngày 2 tháng 1 năm 2022
Nhóm nghiên cứu vẫn chưa công bố kế hoạch khôi phục tài sản, điều này lưu ý rằng họ đã đàm phán với các cơ quan pháp luật và các ứng dụng của bên thứ ba mà các địa chỉ ví này đã tương tác. Tuy nhiên, người ta không nên nín thở trước sự phục hồi khi xem xét cách thức mà những tài sản này hầu như không bao giờ được đòi lại, trừ khi hacker tỏ ra hợp tác.
Trong khi các nạn nhân của vụ hack Poly Network trị giá 610 triệu đô la may mắn được trả lại tiền, tính ẩn danh và phân quyền của hệ sinh thái DeFi khiến việc truy tìm và truy tố những kẻ tấn công như vậy tương đối khó khăn. Xu hướng gia tăng của các vụ hack và lừa đảo DeFi chắc chắn đã lan tràn từ năm ngoái và chỉ được nhiều người dự đoán là sẽ tăng thêm theo thời gian.
Theo AmbCrypto
