アルゴリズムベースの分散型取引プラットフォームが悪用され、300万ドルが盗まれる

分散型取引プラットフォームTinymanでエクスプロイト攻撃発生

2022年早々、分散型取引プラットフォームTinymanがスマートコントラクトのエクスプロイト攻撃被害に遭ったことがわかった。

Tinymanは、1月1日に開始された最新の攻撃について公式サイトのトップ画面にてメッセージを発表。メッセージには、2022年1月1日(土曜日)と2日(日曜日)にTinymanプールでスマートコントラクトのエクスプロイト攻撃が発生。同攻撃は、契約内のこれまで確認されていなかったバグを悪用。攻撃者が権利のないプールから資産を引き出すことを可能にしたと大まかな攻撃内容を明かした。なお、これまで、攻撃は複数のプールで実行されてきたが、攻撃に対する金銭的インセンティブはプールごとに異なるため、すべてのプールが攻撃されたわけではないという。

タイニーマン妥協

Tinyman公式ブログによると、攻撃の結果、最初の数時間で特定ASAが枯渇。

これにより、大きなボラティリティが発生しており、ハッキングがウォレットアドレスをアクティブ状態にし、違反のシードファンドを預け入れたことを明らかにした。攻撃を実行するため加害者は、基本的にプールを標的にしており、資金の一部を交換し始め、プールトークンまで作成したとのこと。ここで大きく注目されたのが、加害者は「2つの異なる資産ではなく、同じ資産の2つ」を悪用して取得したことで、これはプールトークンの燃焼における未知のバグであったという点である。Tinymanによると、「gobtcアセット」は、アルゴランドのネイティブトークンアルゴランド(Algorand/ALGO)よりもはるかに価値があったため、加害者にとって有利であったという。加害者はすぐに交換を開始しており、より多くの資金を集めつつ、エクスプロイト攻撃を続行したという。

Tinymanで続く攻撃

Tinymanは、ユーザーらに向けてお詫びする一方で、影響を受けたすべてのユーザーに払い戻しが行われ、チームが現在報酬プランに取り組んでいることを保証した。ただし、契約の許可されていない性質のため、ブロックチェーン上のいかなる種類のトランザクションも妨害できないことにも言及した。

日本語訳:
このエクスプロイトはまだ進行中であり、プールにはまだ200万ドル相当の価値があることをユーザーに再度警告したいと思います。すべてのユーザーに、できるだけ早く流動性を取り除くことをお勧めします。

損害の強さを制御するためにTinymanは、流動性プロバイダーに対し、すべてのプロトコル関連の契約からすべての流動性を引き出すように促した。これに加えて、アプリのすべての流動性ルートがブロックされ、コミュニティを保護するために警告サインに置き換えている。

日本語訳:
次の24時間(1月4日の午前9時UTC)以降に失われた資金は、このイベントを停止するために私たちにできることは何もないため、ユーザーの責任となります。残りの資産の責任はウォレットの所有者にあります。

さらに最近のツイートで、プラットフォームは、プールでのエクスプロイトが継続していることをユーザーに通知し、プール内の約200万ドル(約2億3,000万円)相当のさまざまなデジタル資産は依然として行き詰まっていることを明らかにした。なお、Tinymanは重ねて、できるだけ早く流動性を取り除くようにすべての人にアドバイスしたほか、1月4日(火曜日)の午前9時以降に失われた資金についてはユーザーの責任になると警告している。

ABOUTこの記事をかいた人

NEXT MONEY運営です。 「話題性・独自性・健全性」をモットーに情報発信しています。 読者の皆様が本当に望んでいる情報を 日々リサーチし「痒いところに手が届く」 そんなメディアを目指しています。