2022年01月01日に発生した事案について公式発表 by Tinyman



2022年01月01日に発生した事案について公式発表

by Tinyman


2022年1月1日より、Tinymanの一部のプールにおいて、Tinymanのコントラクトにおける未知の脆弱性を悪用した、不正なユーザーによる組織的な攻撃がなされました。この悪用により、攻撃開始後数時間で特定のASAが流出し、その直後からボラティリティが上昇する結果となりました。


Tinymanチームとして、今回の出来事について深く反省し、懸念していることをお伝えしたいと思います。私たちのコミュニティには、ご迷惑をおかけし、損失を被られたことにお詫び申し上げます。私たちはTinymanコミュニティに補償する計画に取り組み始め、このコミュニティを再び繁栄させるつもりです。この出来事で影響を受けたユーザーの皆様は、プロトコルによって補償されます。私たちはアルゴランドの成長に寄与し、正しいことをすることでより強くなるためにここにいます。



事件の基礎情報


Rinymanチームは、現在も手を尽くして調査中ですが、今回の事件を解明するための最初の証拠を発見しました。攻撃の技術的な詳細には立ち入らず、まずはこの最初の発見を共有したいと思います。


アルゴランド・チェーン記録によると、最初の犯人はウォレット・アドレスを有効化し、ハッキングのための種銭を入金しています。これは、彼らの最初の入金を示すトランザクションです。


https://algoexplorer.io/tx/65AYHK27CR6OXLN6WXOAAJBS6JL37LOB7LPZN5ZF3H3CQHR6FZBQ




攻撃を実行するために、対象となるプールで取引を開始し、資金の一部をスワップしてASA ID:386192725 (gobtc)を取得し、いくつかのプール・トークンを作成しました。この段階まで、犯人はハッキングを開始するための最初の資金を確保しました。


このアカウントの最初の攻撃は、このトランザクション・グループでした。


https://algoexplorer.io/tx/group/KbOlFc02lRAonvc4yfgpI%2FfkNrlP2FDHGX1ESAF2lvs%3D


明らかに見られるように、攻撃者はプール・トークンの償却における未知のバグを利用し、2つの異なるアセットではなく、2つの同じアセットを受け取っています。これは攻撃者にとって有利に働きました。なぜなら、gobtcのアセットはALGOよりもかなり価値があり、彼らはすぐにALGOと交換し、攻撃を継続するためのより多くの資金を受け取ったからです。



一連の取引で、攻撃者はgobtcとgoeth(ASA ID:386195940)のプールを17回にわたって消費し、相当な量の価値を取り去りました。この価値は、引き出し時点で約300万ドルと推定されます。


犯人の次の一連の行動は、プールをステーブルコインでスワップして価値の大部分を引き出し、これらの資産を他のオンチェーン・ウォレットや認知された中央集権型取引所に引き出したことを示しています。


残念ながら、これらの取引はすべて、さまざまなユーザーから盗んだ金額です。私たちのソーシャル・チャンネルに最初の報告が寄せられ始めたので、私たちは攻撃を特定し、その範囲の調査を開始しました。


調査が進むにつれ、このバグを悪用しているウォレットが多数存在することが判明し、それらのウォレットが最初の攻撃者と同等の責任を負う証拠も得られました。私たちを支援しようとしているホワイトハッカーの皆さんには、資金が本物でなく、操作性が全く同じであるテストネット上で行動をシミュレートするようアドバイスしています。



Tinymanは今どうなっているのか?


コントラクトはパーミッションレスなので、Tinymanチームでさえ、ブロックチェーン上のあらゆる取引を妨害する力はありません。そのため、最初のステップとして、2022年1月2日にすべてのTinymanユーザーに対して、Tinyman関連のコントラクトからすべての流動性を引き揚げることを推奨する正式な発表が行われました。さらに、ウェブ・アプリで流動性を追加するルートをすべて削除し、コミュニティを保護するために必要な警告をウェブサイトに掲載しました。


攻撃開始時、Tinymanの総流動性は約4,300万ドルでしたが、攻撃から数時間後にも約2,000万ドルに減少しました。私たちのアドバイスに従って、プロジェクトやユーザーが流動性の除去を開始し、その結果、総額は500万ドルまで減少しました。4,300万ドルと現在の数字の差は、失われた金額ではなく、この金額の大部分はユーザーによって取り戻され、彼らのウォレットの中で完全に安全であることを認識することが極めて重要です。


私たちは、この問題を解決するために調査を続けており、あらゆる側面をカバーし、次の行動についての明確な道筋を示す計画を立てています。その間、私たちはTinymanのソーシャル・サイトに耳を傾け、支援を必要とするすべての人々、または私たちを助けるために連絡するかもしれない人々のために目を離さないようにします。



次のステップ


数日以内に、この問題に関するテクニカル・レポートを発表し、発生した、あるいは現在も発生している事象の詳細を含め、この件に関するすべての詳細を網羅する予定です。この報告書と今後のコミュニケーションにより、Tinymanチームはこの問題に対処し、理解し、解決するために完全な透明性を確立することを、私たちはコミュニティの皆様にお約束したいと思います。


チームはすでにTinymanプロトコルを再開するための複数のロードマップの作成を開始しています。現在のロードマップは、スマートコントラクトを修正し、Runtime(監査会社)と我々のコミュニティの助けを借りて、早急に公開することです。今週中にプロトコルを稼働させ、エコシステムがリバランスできるようにする予定です。また、次のステップでは、被害報告書を公開し、影響を受けたユーザーに失われた資金を回復する支援を行う予定です。一方、私たちは法執行機関と協力し、加害者についての詳細な情報を探しています。攻撃者アドレスと交流のあったサードパーティーとも連絡を取っていますので、そちらのほうも詳細が分かり次第、お伝えしたいと思います。


私たちは、透明性を保ち、今後のすべての行動を伝えるために最善を尽くします。また、Tinymanの連絡先とやりとりすることで、ユーザーのウォレットが危険にさらされることはないことを、ユーザーの皆様にお伝えする必要があります。もしあなたが流動性を削除したのであれば、あなたの資金は安全です。