Otro año, otro truco: la plataforma DeFi de Algorand, Tinyman, explotada por $ 3 millones

El nuevo año no sonó bien para el Algorand comunidad, ya que la plataforma comercial descentralizada que Tinyman construyó en la red fue objeto de un ataque el 1 de enero de 2022. Esto siguió a un año de robos intensos que vio más de $ 10 mil millones perderse por estafas y hacks de DeFi. En un nuevo entrada en el blog, Tinyman ahora ha detallado el fatídico exploit que le costó a la plataforma DeFi un estimado de $ 3 millones.

El atacante pudo explotar algunas vulnerabilidades en los contratos inteligentes de la red que proporcionaban acceso no autorizado a grupos de los que podían extraer tokens.

1- Como muchos de ustedes saben, ocurrió un ataque en Tinyman Pools el 1 y 2 de enero.
El ataque explota un error previamente desconocido en el contrato y permite al atacante retirar activos de un grupo al que no tiene derecho.

– Tinyman (@tinymanorg) 2 de enero de 2022

Esto “resultó en una fuga de ciertos ASA en las primeras horas del ataque, lo que condujo a una mayor volatilidad en las secuelas inmediatas”, señaló el equipo de Tinyman, y agregó que se estaban llevando a cabo más investigaciones sobre el ataque.

Proporcionaron un pronóstico temprano del ataque, lo que sugirió que los primeros perpetradores activaron sus direcciones de billetera y depositaron un fondo inicial para el ataque. A esto le siguió la realización de transacciones con los grupos específicos, intercambiando algunos tokens y acuñando algunos tokens del grupo.

El error se aprovechó quemando los Pool Tokens, lo que permitió a los piratas informáticos recibir dos de los mismos activos en lugar de dos activos diferentes. Los atacantes continuaron quemando e intercambiando más de 17 transacciones hasta que robaron fondos por valor de alrededor de $ 3 millones en el momento del retiro. La publicación del blog agregó,

«El siguiente conjunto de acciones de los perpetradores muestra cómo intercambiaron grupos con monedas estables para extraer la mayor parte del valor y retirar estos activos a otras carteras en cadena y a intercambios centralizados reconocidos».

La red también señaló que muchas otras billeteras ahora estaban explotando este error, advirtiendo que «esas personas pueden ser consideradas tan culpables como los primeros atacantes».

Se pidió inmediatamente a todos los usuarios que retiraran su liquidez de todos los contratos relacionados con Tinyman, ya que ninguno de ellos puede revertirse o pausarse debido a la estructura completamente descentralizada de la red. La liquidez restante en la red se situó en alrededor de $ 5 millones, por debajo de los $ 43 millones anteriores.

Debido a un exploit encontrado recientemente, hemos extraído liquidez de Tinyman en el token TINY; nos ha llamado la atención que nuestro grupo de liquidez también podría verse afectado.
Aconsejamos a cualquier persona que extraiga su liquidez también hasta que sepamos más sobre las posibles soluciones.

– TinyChart (@tinychartorg) 2 de enero de 2022

El equipo aún no ha anunciado un plan de recuperación de activos, que señaló que estaba en conversaciones con las autoridades legales y aplicaciones de terceros con las que estas direcciones de billetera habían interactuado. Sin embargo, uno no debe contener la respiración ante la recuperación considerando que estos activos casi nunca se recuperan, a menos que el pirata informático se muestre cooperativo.

Si bien las víctimas del hackeo de Poly Network de $ 610 millones tuvieron la suerte de tener su fondos devueltos, el anonimato y la descentralización del ecosistema DeFi hacen que sea relativamente difícil rastrear y enjuiciar a estos atacantes. La tendencia al alza de hacks y estafas de DeFi se ha extendido inevitablemente desde el año pasado y es solo esperado por muchos para aumentar aún más con el tiempo.

Esta es una traducción automática de nuestra versión en inglés.