Sinabi ng mga siyentipiko sa kaligtasan na ang TSR token ng Tessera DAO ay nagkaroon ng hindi normal na paggawa at malaking pagbebenta sa BNB Chain, na nagresulta sa pagbaba ng presyo ng halos 99%. Ayon sa data sa chain, ang attacker ay nag-mint ng 99 milyong TSR at agad itong ibinenta, na nag-udyok sa pagmumuni-muni ng publiko tungkol sa mga karapatan sa paggawa ng token at kontrol sa contract ng proyekto.
99 milyong mga TSR ay di-normal na nilikha
Ipinaliwanag ng pampublikong impormasyon na ang mga anomalous na nilikhang token ay sinalihan agad para sa halos $2.5 milyon na USDT. Ang malaking presyur sa pagbenta ay nagdulot ng pagkabigo sa likwididad ng merkado sa maikling panahon, na nagresulta sa mabilisang pagbaba ng presyo ng TSR.
Karaniwan ang ganitong uri ng pangyayari ay nangangahulugan na may kakulangan sa proseso ng paglabas ng token o pamamahala ng mga pahintulot. Batay sa kasalukuyang ipinahayag na impormasyon, ang pangunahing paksang pinag-uusapan ay kung ang pagkontrol sa paggawa ng token ay nalabasan o kung ang mga kaugnay na pahintulot ay ginamit nang walang awtorisasyon.
I-transfer ang pondo sa Ethereum at pumasok sa mixer
Sinabi ng mga siyentipiko na ang mga pondo ay naka-transfer mula sa BNB Chain patungo sa Ethereum pagkatapos ng pagpalit. Ipinaliliwanag ng on-chain data na mayroon nang 1,285.5 ETH na naka-transfer sa pamamagitan ng Tornado Cash.
Dahil sa pagkakalat ng mixer sa daan ng pondo, mas hirap na masukat ang pagtutuloy-tuloy nito, at mas napapansin ang paggalaw ng natitirang ari-arian. Kasalukuyang nakatuon ang pansin ng labas sa pagpapatotoo sa dami ng pondo na hindi pa nailipat, at kung maaari pa ring ma-identiyfy ang karagdagang kaugnay na address.
Ang project team ay maaaring i-audit ang mga karapatan sa paggawa ng mga coin
Batay sa mga alam, maaaring mag-focus ang susunod na imbestigasyon sa dalawang direksyon: una, ang pagtutok sa mga natitirang pondo; at pangalawa, ang pagkilala sa root cause ng vulnerability. Kung ang problema ay talagang nanggagaling sa minting permission o contract design, kailangan pa ng project team na suriin kung may karagdagang panganib.
Ipapakita muli ng insidente na ito na kung ang pagpapalabas ng token ay walang sapat na pagkakabawas, maaaring gamitin ng mga attacker ang hindi karaniwang pagpapalawak upang direktang lumikha ng presyur sa pagbebenta at makumpleto ang pagbabayad at paglipat sa ibang chain sa maikling panahon.