Tinyman foli për sulmin e fundit që filloi më 1 janar. Disa "përdorues të paautorizuar" shkelën disa nga grupet e protokollit pasi komprometuan një cenueshmëri të panjohur më parë në kontratat e tij inteligjente.
Tinyman i kompromentuar
Sipas postimit zyrtar në blog, sulmi rezultoi në një rrjedhje të disa ASA-ve në orët e para. Kjo, nga ana tjetër, shkaktoi paqëndrueshmëri masive. Tinyman zbuloi se hakimi aktivizoi adresat e portofolit të tyre dhe depozitoi një fond fillestar për shkeljen. Për të ekzekutuar sulmin, autorët në thelb shënjestruan pishinat dhe filluan të shkëmbejnë një pjesë të fondeve të tyre dhe prenë Pool Tokens.
Ishte një defekt i panjohur në djegien e Pool Tokens që autorët thuhet se e shfrytëzuan dhe arritën të blinin "dy të njëjtat pasuri në vend të dy aseteve të ndryshme".
Sipas platformës, kjo ishte e favorshme për autorët pasi “aseti gobtc” ishte dukshëm më i vlefshëm se tokeni vendas i Algorand ALGO. Ata menjëherë këmbyen kundër tij për të grumbulluar më shumë fonde dhe për të vazhduar shfrytëzimin.
Tinyman pretendoi se sulmuesit gjithashtu këmbyen pishinat me monedha stabile për të marrë vlerën më të madhe dhe për t'i tërhequr këto asete në portofolët e tjerë në zinxhir dhe shkëmbime të njohura të centralizuara të kriptomonedhave.
Sulmi vazhdon
Ndërsa kërkoi falje për të gjithë ngjarjen, Tinyman siguroi se të gjithë përdoruesit e prekur do të rimbursohen dhe se ekipi aktualisht është duke punuar në planet e kompensimit. Megjithatë, ai përmendi gjithashtu se ata nuk mund të pengonin asnjë lloj transaksioni në blockchain për shkak të natyrës pa leje të kontratave.
Në një përpjekje për të kontrolluar intensitetin e dëmit, Tinyman u kërkoi ofruesve të likuiditetit të tërhiqnin të gjithë likuiditetin e tyre nga të gjitha kontratat e lidhura me protokollin. Përveç kësaj, të gjitha rrugët e likuiditetit në aplikacionin ueb u bllokuan dhe u zëvendësuan me shenja paralajmëruese për të mbrojtur komunitetin.
Çdo fond i humbur pas 24 orëve të ardhshme (9 paradite UTC më 4 janar) do të jetë përgjegjësi e përdoruesve pasi nuk mund të bëjmë asgjë për të ndaluar këtë ngjarje, përgjegjësia e aseteve të mbetura është në duart e pronarëve të portofolit. .
— Tinyman (@tinymanorg) Janar 3, 2022
Në një tjetër të fundit cicëroj, platforma njoftoi përdoruesit e saj se shfrytëzimi në pishina vazhdon. Për më tepër, rreth 2 milionë dollarë asete të ndryshme dixhitale në pishina mbetën ende të bllokuara. Tinyman këshilloi edhe një herë të gjithë të heqin likuiditetin e tyre sa më shpejt të jetë e mundur. Ai gjithashtu paralajmëroi se çdo fond i humbur pas orës 9 të mëngjesit UTC më 4 janar do të jetë përgjegjësi e përdoruesit.
Binance Falas 100 $ (ekskluzive): Përdorni këtë lidhje për t'u regjistruar dhe për të marrë 100 dollarë tarifa falas dhe 10% ulje në muajin e parë të Binance Futures (kushte).
Oferta Speciale PrimeXBT: Përdorni këtë lidhje për t'u regjistruar dhe futur kodin POTATO50 për të marrë 25% ulje nga tarifat e tregtimit.
Burimi: https://cryptopotato.com/3-million-lost-as-an-algorand-based-decentralized-trading-platform-exploited/