目次
はじめに
Henry
前回の仮想通貨ハッキング事例の記事 003は、年末の最後の最後に多くの方にお読みいただきました。ありがとうございます。
このシリースでは、過去の事例も含めて広い意味での「ハッキング」に関する事を取り上げていきます。
このシリースでは、過去の事例も含めて広い意味での「ハッキング」に関する事を取り上げていきます。
1月2日にTinymanへ攻撃
Tinymanとは
Henry
新年早々、Exploitが発生しました。
上のツイート、「提供」ではなく「供給」ですね。
失礼しました。
駆け足で、ツイートしたので雑になっていますね。
上のツイート、「提供」ではなく「供給」ですね。
失礼しました。
駆け足で、ツイートしたので雑になっていますね。
Cookie
で、Tinymanって?
Henry
Tinymanは、Algorand上のDEXです。
以前に、私の別ブログ Algorand Magazineでも紹介したプロジェクトです。
端的に、Uniswap の Algorand版ですね。
Tinymanで出来ることは、トークンのスワップとLPトークンの作成と供給のみです。
まだ、ネイティブトークンが発行されていないため、LP供給によるエアドロ狙いのユーザーが多数参加しています。
Defilamaでもエアドロの可能性があるプロジェクトの一つとして挙げられています。
以前に、私の別ブログ Algorand Magazineでも紹介したプロジェクトです。
端的に、Uniswap の Algorand版ですね。
Tinymanで出来ることは、トークンのスワップとLPトークンの作成と供給のみです。
まだ、ネイティブトークンが発行されていないため、LP供給によるエアドロ狙いのユーザーが多数参加しています。
Defilamaでもエアドロの可能性があるプロジェクトの一つとして挙げられています。
1月2日から何が起こっているのか?
Henry
今回は、公式からのアナウンスが止まっているので、説明を少々簡略化させていただき、後日追記させていただきます。
Henry
まず、攻撃者がエラーを発見し1月2日に攻撃を実行しました。
そして、この攻撃は、今も続いており、流動性供給者はプールから資金を抜かないと全て無くなると公式から言われています。
そのため、今の時点でLPを供給している方々は速やかにプールから抜いてください。
公式の方でも、今回の攻撃は止められないとアナウンスしています。
また、現在はSwap機能も停止しています。
そして、この攻撃は、今も続いており、流動性供給者はプールから資金を抜かないと全て無くなると公式から言われています。
そのため、今の時点でLPを供給している方々は速やかにプールから抜いてください。
公式の方でも、今回の攻撃は止められないとアナウンスしています。
また、現在はSwap機能も停止しています。
Cookie
ちょっとイマイチ分からない。
Henry
そうですよね。
もう一度、書きましょう。
1. プロジェクト内のエラーを攻撃者が見つけて1月2日に攻撃。
対象のプールは、"goBTC/Algo" と "goETH/algo" 。
2. 同日に、プロジェクト側が攻撃被害をアナウンス。
もう一度、書きましょう。
1. プロジェクト内のエラーを攻撃者が見つけて1月2日に攻撃。
対象のプールは、"goBTC/Algo" と "goETH/algo" 。
2. 同日に、プロジェクト側が攻撃被害をアナウンス。
Cookie
ふむふむ。
Henry
しばらくの間、プロジェクト側がリサーチしますよね。
Cookie
うん。
Henry
3. 結果として、プロジェクト側のバグを突いた攻撃だったのですが、このバグというのが、上記の2つのプールだけでなく、全てのプールにも通ずるバグというが判明し、最初の攻撃者以外も同様の攻撃を他のプールにも行ってしまい、現在進行系で資金が全て抜き取られているのです。
Cookie
あれま。
Henry
この他の攻撃者が同一グループなのか、別グループなのか分かりません。
そのため、バグ発覚後にプロジェクト側は速やかにLPを引き出すようにアナウンスしました。私がツイートしたときです。
プロジェクト側の発表によると、攻撃時には$43Mの流動性があったのですが、数時間後には$20M、翌日の1/3には$2Mとなり、Swapも停止することになりました。
そのため、現在の時点で正確な被害額は分かっていません。
初回の攻撃では$3M抜かれていますが、実際はそれ以上です。
流動性が低すぎるので、供給者が預け入れたLPを引き出すのが遅くなれば遅くなるほど、取り戻せる数量は減ります。
そのため、バグ発覚後にプロジェクト側は速やかにLPを引き出すようにアナウンスしました。私がツイートしたときです。
プロジェクト側の発表によると、攻撃時には$43Mの流動性があったのですが、数時間後には$20M、翌日の1/3には$2Mとなり、Swapも停止することになりました。
そのため、現在の時点で正確な被害額は分かっていません。
初回の攻撃では$3M抜かれていますが、実際はそれ以上です。
流動性が低すぎるので、供給者が預け入れたLPを引き出すのが遅くなれば遅くなるほど、取り戻せる数量は減ります。
Cookie
日本からの参加者は大丈夫だったの?
Henry
国内から参加しているユーザーが少ないのか、あまり私が日頃フォローさせていただいている方々がツイートしていなかったので大丈夫かなとは思いますが、個人的に昨年見てきたハッキング事例の中でも群を抜いて、ヒドい内容と思いました。
一撃で終わるのではなく、他のハッカーも追随して資金を抜き取る事件は珍しいケースです。
参加者が少なかったがゆえに被害額も少く済んでいますが、他のチェーンだったらプロジェクト終了レベルです。
また、このプロジェクトのcontract は、"immutable contracts"なので修正ができません。
一撃で終わるのではなく、他のハッカーも追随して資金を抜き取る事件は珍しいケースです。
参加者が少なかったがゆえに被害額も少く済んでいますが、他のチェーンだったらプロジェクト終了レベルです。
また、このプロジェクトのcontract は、"immutable contracts"なので修正ができません。
Cookie
なんと。
Henry
公式からのアナウンスは、Discordが最短なので、参加者の方々は公式Discordに必ず入りましょう。現在は、公式からの補償などのアナウンス待ちです。
公式LINK
- https://tinymanorg.medium.com/official-announcement-about-the-incidents-of-01-01-2022-56abb19d8b19
- Discord
Henry. W
はじめてこのサイトへお越しの方は、こちらの当サイト利用上の注意を必ずお読みください。