分散型取引プラットフォームTinymanでエクスプロイト攻撃発生
2022年早々、分散型取引プラットフォームTinymanがスマートコントラクトのエクスプロイト攻撃被害に遭ったことがわかった。
Tinymanは、1月1日に開始された最新の攻撃について公式サイトのトップ画面にてメッセージを発表。メッセージには、2022年1月1日(土曜日)と2日(日曜日)にTinymanプールでスマートコントラクトのエクスプロイト攻撃が発生。同攻撃は、契約内のこれまで確認されていなかったバグを悪用。攻撃者が権利のないプールから資産を引き出すことを可能にしたと大まかな攻撃内容を明かした。なお、これまで、攻撃は複数のプールで実行されてきたが、攻撃に対する金銭的インセンティブはプールごとに異なるため、すべてのプールが攻撃されたわけではないという。
タイニーマン妥協
Tinyman公式ブログによると、攻撃の結果、最初の数時間で特定ASAが枯渇。
これにより、大きなボラティリティが発生しており、ハッキングがウォレットアドレスをアクティブ状態にし、違反のシードファンドを預け入れたことを明らかにした。攻撃を実行するため加害者は、基本的にプールを標的にしており、資金の一部を交換し始め、プールトークンまで作成したとのこと。ここで大きく注目されたのが、加害者は「2つの異なる資産ではなく、同じ資産の2つ」を悪用して取得したことで、これはプールトークンの燃焼における未知のバグであったという点である。Tinymanによると、「gobtcアセット」は、アルゴランドのネイティブトークンアルゴランド(Algorand/ALGO)よりもはるかに価値があったため、加害者にとって有利であったという。加害者はすぐに交換を開始しており、より多くの資金を集めつつ、エクスプロイト攻撃を続行したという。
Tinymanで続く攻撃
Tinymanは、ユーザーらに向けてお詫びする一方で、影響を受けたすべてのユーザーに払い戻しが行われ、チームが現在報酬プランに取り組んでいることを保証した。ただし、契約の許可されていない性質のため、ブロックチェーン上のいかなる種類のトランザクションも妨害できないことにも言及した。
We would like to warn our users again that the exploit is still going and there is still 2m$ worth of value in the pools. We advise all our users to remove their liquidity as soon as possible.
— Tinyman (@tinymanorg) January 3, 2022
このエクスプロイトはまだ進行中であり、プールにはまだ200万ドル相当の価値があることをユーザーに再度警告したいと思います。すべてのユーザーに、できるだけ早く流動性を取り除くことをお勧めします。
損害の強さを制御するためにTinymanは、流動性プロバイダーに対し、すべてのプロトコル関連の契約からすべての流動性を引き出すように促した。これに加えて、アプリのすべての流動性ルートがブロックされ、コミュニティを保護するために警告サインに置き換えている。
Any lost funds after the next 24 hours (9 am UTC on the 4th of January) will be the responsibility of the users as there is nothing we can do to stop this event, the responsibility of the remaining assets are in the wallet owners' hands.
— Tinyman (@tinymanorg) January 3, 2022
次の24時間(1月4日の午前9時UTC)以降に失われた資金は、このイベントを停止するために私たちにできることは何もないため、ユーザーの責任となります。残りの資産の責任はウォレットの所有者にあります。
さらに最近のツイートで、プラットフォームは、プールでのエクスプロイトが継続していることをユーザーに通知し、プール内の約200万ドル(約2億3,000万円)相当のさまざまなデジタル資産は依然として行き詰まっていることを明らかにした。なお、Tinymanは重ねて、できるだけ早く流動性を取り除くようにすべての人にアドバイスしたほか、1月4日(火曜日)の午前9時以降に失われた資金についてはユーザーの責任になると警告している。
