又一年，又一次黑客攻击：Algorand 的 DeFi 平台 Tinyman 以 300 万美元被利用

新的一年对 Algorand 社区来说并不好，因为建立在网络上的去中心化交易平台 Tinyman 在 2022 年 1 月 1 日遭到攻击。 在此之后的一年里，DeFi 被盗损失超过 100 亿美元诈骗和黑客。 在一篇新的博客文章中，Tinyman 现在详细介绍了导致 DeFi 平台损失约 300 万美元的致命漏洞。

攻击者能够利用网络智能合约中的一些漏洞，这些漏洞提供对池的未经授权的访问，他们可以从中提取令牌。

1- 正如你们许多人所知，1 月 1 日/2 日，Tinyman Pools 发生了攻击。
该攻击利用了合同中先前未知的错误，并允许攻击者从他们无权使用的池中提取资产。

– Tinyman (@tinymanorg) 2022 年 1 月 2 日

Tinyman 的团队指出，这“导致某些 ASA 在攻击的最初几个小时内耗尽，导致紧随其后的波动性增加”，并补充说正在对攻击进行进一步调查。

他们确实提供了攻击的早期预测，这表明第一批肇事者激活了他们的钱包地址并为这次黑客行为存入了种子基金。 随后与目标池进行交易，交换一些代币，并铸造一些池代币。

该漏洞是通过销毁 Pool Tokens 来利用的，这允许黑客接收两个相同的资产而不是两个不同的资产。 攻击者继续销毁和交换超过 17 笔交易，直到他们在取款时窃取了价值约 300 万美元的资金。 博文补充说，

“肇事者的下一组行动展示了他们如何用稳定币交换池以提取大部分价值并将这些资产提取到其他链上钱包和公认的中心化交易所。”

该网络还指出，许多其他钱包现在正在利用这个漏洞，并警告说“这些人可能会像最初的攻击者一样被追究责任。”

所有用户都被立即要求从所有 Tinyman 相关合约中提取他们的流动性，因为由于网络的完全去中心化结构，它们都不能被撤销或暂停。 该网络上的剩余流动性约为 500 万美元，低于之前的约 4300 万美元。

由于最近发现的漏洞，我们从 Tinyman 中提取了 TINY 代币的流动性——我们注意到我们的流动性池也可能受到影响。
我们建议任何人也撤出他们的流动性，直到我们听到更多关于可能的解决方案。

— TinyChart (@tinychartorg) 2022 年 1 月 2 日

该团队尚未宣布资产追回计划，并指出正在与法律当局和这些钱包地址与之交互的第三方应用程序进行谈判。 然而，考虑到这些资产几乎从未被收回，人们不应该屏住呼吸，除非黑客证明是合作的。

虽然 6.1 亿美元的 Poly Network 黑客攻击的受害者很幸运能够获得他们的资金返还，但 DeFi 生态系统的匿名性和去中心化使得追踪和起诉此类攻击者相对困难。 DeFi 黑客和诈骗的上升趋势不可避免地从去年开始蔓延，许多人预计随着时间的推移会进一步增加。

—-

原文链接：https://ambcrypto.com/another-year-another-hack-algorands-defi-platform-tinyman-exploited-for-3m

原文作者：Anjali Jain

编译者/作者：wanbizu AI

玩币族申明：玩币族作为开放的资讯翻译/分享平台，所提供的所有资讯仅代表作者个人观点，与玩币族平台立场无关，且不构成任何投资理财建议。文章版权归原作者所有。