Tinyman ha parlato dell'ultimo attacco iniziato il 1 gennaio. Alcuni "utenti non autorizzati" hanno violato alcuni dei pool del protocollo dopo aver compromesso una vulnerabilità precedentemente sconosciuta sui suoi contratti intelligenti.
Tinyman Compromesso
Secondo il post sul blog ufficiale, l'attacco ha provocato un drenaggio di alcuni ASA nelle prime ore. Questo, a sua volta, ha indotto una forte volatilità. Tinyman ha rivelato che l'hack ha attivato gli indirizzi del portafoglio e ha depositato un fondo di avviamento per la violazione. Per eseguire l'attacco, gli autori hanno essenzialmente preso di mira i pool e hanno iniziato a scambiare una parte dei loro fondi e hanno coniato token pool.
Si trattava di un bug sconosciuto nella combustione dei token pool che gli autori secondo quanto riferito hanno sfruttato e sono riusciti ad acquisire "due delle stesse risorse invece di due risorse diverse".
Secondo la piattaforma, questo è stato favorevole per gli autori in quanto la "risorsa gobtc" era significativamente più preziosa del token nativo di Algorand ALGO. Hanno immediatamente scambiato contro di esso per rastrellare più fondi e portare avanti l'exploit.
Tinyman ha affermato che gli aggressori hanno anche scambiato pool con stablecoin per estrarre il massimo valore e ritirare queste risorse su altri portafogli on-chain e noti scambi centralizzati di criptovaluta.
L'attacco continua
Pur scusandosi per l'intero evento, Tinyman ha assicurato che tutti gli utenti interessati saranno rimborsati e che il team sta attualmente lavorando a piani di compensazione. Tuttavia, ha anche affermato che non potevano ostacolare alcun tipo di transazione sulla blockchain a causa della natura senza autorizzazione dei contratti.
Nel tentativo di controllare l'intensità del danno, Tinyman ha esortato i fornitori di liquidità a ritirare tutta la loro liquidità da tutti i contratti relativi al protocollo. Inoltre, tutte le vie di liquidità nella web app sono state bloccate e sono state sostituite con cartelli di avvertimento a tutela della comunità.
Eventuali fondi persi dopo le prossime 24 ore (9 am UTC del 4 gennaio) saranno responsabilità degli utenti poiché non c'è nulla che possiamo fare per fermare questo evento, la responsabilità delle risorse rimanenti è nelle mani dei proprietari del portafoglio .
— Tinyman (@tinymanorg) 3 gennaio 2022
In un ennesimo tweet recente, la piattaforma ha informato i propri utenti che l'exploit sui pool continua. Inoltre, circa 2 milioni di dollari di varie risorse digitali nelle piscine sono rimaste bloccate. Tinyman ha consigliato ancora una volta a tutti di rimuovere la propria liquidità il prima possibile. Ha inoltre avvertito che eventuali fondi persi dopo le 9:00 UTC del 4 gennaio saranno responsabilità dell'utente.