Một năm mới, một vụ hack mới. Lần này là một nền tảng giao dịch phi tập trung Tinyman bị khai thác hợp đồng thông minh.
Tinyman mở màn danh sách nạn nhân bị hack năm nay. Một số “người sử dụng trái phép” đã xâm phạm các pool của giao thức bằng cách lợi dụng một lỗ hổng chưa được biết đến trước đây trên các hợp đồng thông minh của nó.
Toàn bộ sự việc và bồi thường
Theo bài đăng trên blog chính thức, cuộc tấn công đã làm mất một số ASA nhất định trong những giờ đầu tiên. Điều này đã gây ra sự biến động lớn. Tinyman tiết lộ rằng vụ hack đã kích hoạt địa chỉ ví của họ và gửi một quỹ hạt giống cho hợp đồng bị xâm phạm. Để thực hiện cuộc tấn công, thủ phạm về cơ bản đã nhắm mục tiêu vào các pool, bắt đầu hoán đổi một phần tiền tệ của họ và đúc Pool Tokens.
Đó là một lỗi không xác định trong việc đốt Pool Token mà thủ phạm đã khai thác và tạo ra “hai tài sản giống nhau thay vì hai tài sản khác nhau”.
Theo nền tảng, điều này là thuận lợi cho thủ phạm vì “tài sản gobtc” có giá trị hơn đáng kể so với token gốc ALGO của Algorand. Họ ngay lập tức hoán đổi chúng để kiếm thêm tiền tệ và tiếp tục khai thác.
Tinyman cáo buộc rằng những kẻ tấn công cũng đã hoán đổi các pool với các stablecoin để thu được giá trị cao nhất, sau đó rút các tài sản này sang các ví on-chain khác và các sàn giao dịch tiền tệ điện tử tập trung.
Trong khi xin lỗi về toàn bộ sự kiện, Tinyman đảm bảo rằng tất cả những người sử dụng bị ảnh hưởng sẽ được hoàn lại tiền tệ và nhóm hiện đang vạch ra phương án bồi thường. Dù vậy, dự án cũng đề cập rằng họ không thể cản trở bất kỳ loại giao dịch nào trên blockchain do tính chất không cần cấp phép của các hợp đồng.
Trong một nỗ lực để kiểm soát mức độ thiệt hại, Tinyman kêu gọi các nhà cung cấp thanh khoản rút toàn bộ tiền tệ của họ khỏi tất cả các hợp đồng liên quan đến giao thức. Ngoài ra, tất cả các tuyến thanh khoản trong ứng dụng web đã bị chặn và được thay thế bằng các dấu hiệu cảnh báo để bảo vệ cộng đồng.
Trong một tweet khác gần đây, nền tảng đã thông báo cho người sử dụng của mình rằng vụ khai thác trên các pool vẫn tiếp tục. Hơn nữa, khoảng 2 triệu đô la tài sản kỹ thuật số khác nhau trong các pool vẫn bị mắc kẹt. Tinyman một lần nữa khuyên mọi người nên rút thanh khoản của họ càng sớm càng tốt. Nó cũng cảnh báo rằng bất kỳ khoản tiền tệ nào bị mất sau 16:00 vào ngày 4 tháng 1 sẽ do người sử dụng chịu trách nhiệm.
Annie
Theo Cryptopotato