Согласно сообщению в блоге проекта, хакеры создали и активировали адреса кошельков, после чего внесли пробный депозит для последующего взлома протокола. Затем злоумышленники провели транзакции с целевыми пулами, обменяли часть своих средств на получение идентификатора ASA: 386192725 (gobtc) и создали несколько токенов пула.
После этого киберпреступники использовали ранее неизвестную уязвимость в смарт-контракте, предназначенном для сжигания токенов. Хакеры провели более 17 транзакций с пулами gobtc и goeth (ASA ID: 386195940), что привело к снижению стоимости актива. Чтобы увеличить прибыль и перевести деньги на кошельки централизованных бирж, хакеры провели конвертацию токенов в стейблкоины.
Таким образом киберпреступники вывели криптоактивы на $3 млн. Разработчики Tinyman предупредили, что смарт-контракты, которые использовали преступники, не имеют ограничений и их выполнение не может быть остановлено. Поэтому команда проекта призывает пользователей вывести активы с кошельков, которые могут попасть под воздействие скомпрометированных смарт-контрактов.
Создание новых депозитов на платформе приостановлено до полного прояснения ситуации. Команда проекта сообщила, что обратилась в правоохранительные органы и в компании по кибербезопасности за помощью в выявлении лиц, причастных ко взлому. Tinyman будет сообщать своим пользователям о ходе восстановления работоспособности и безопасности протокола.
Напомним, что в прошлом году протокол DeFi Visor Finance подвергся взлому, в ходе которого хакерам удалось украсть 8.8 млн токенов VISR на сумму около $8.2 млн. Курс токена рухнул в 30 раз. Кроме того, платформа DeFi Grim Finance сообщила, что хакеры использовали ошибку смарт-контракта и скомпрометировали кошельки, выведя токены на $30 млн.
Аналитики компании Crystal Blockchain подготовили отчет, в котором говорится, что по итогам последнего десятилетия общий эквивалент украденных хакерами криптовалют превысил $12.1 млрд.
