تم استغلال Platypus ، وهو بروتوكول مبادلة DeFi Avalanche مقابل 8.5 مليون دولار. حدث الاستغلال عبر هجوم قرض سريع استفاد من وجود خلل في آلية فحص الملاءة USP.
خدع هذا الخلل trac الذكية لـ Platypus في التفكير في أن USP مدعوم بالكامل ، مما أدى إلى نقل ما يقرب من 8.5 مليون دولار من البروتوكول.
فقدت عملة Platypus المستقرة ، USP ، ربطها بالدولار ، وانخفضت إلى 0.33 دولار. ثم تعافت بعد ذلك لفترة وجيزة إلى 0.97 دولار ، لكنها تراجعت منذ ذلك الحين إلى 0.48 دولار ، كما تظهر البيانات من CoinGecko. قال Platypus إن 35٪ فقط من ودائع مستخدم Platypus مغطاة بممتلكات أخرى.
وفقًا لتحليل تقني بعد الوفاة أجرته شركة التدقيق Omniscia ، أصبح الهجوم على Platypus ممكنًا من خلال رمز تم وضعه بشكل غير صحيح بعد تدقيقه.
قامت Omniscia بمراجعة نسخة من MasterPlatypusV1 con trac t من 21 نوفمبر إلى 5 ديسمبر 2021. الإصدار الذي تم تدقيقه "لا يحتوي على نقاط تكامل مع نظام خلد الماء الخارجي" وبالتالي لم يحتوي على سطور الكود ذات الترتيب الخاطئ.
يبدو أن الثغرة الأمنية تكمن في التحقق من أن MasterPlatypusV4 con trac t باستخدام وظيفة EmergencyWithdraw ، والتي لن تفشل إلا عندما يتجاوز الأصل المقترض حد الاقتراض.
سمح ذلك للمهاجم باستخدام قرض سريع لاستغلال الخطأ المنطقي في آلية فحص الملاءة USP في trac عقد الضمان.
خطة تعويض خلد الماء للمستخدمين
في تغريدة بتاريخ 18 فبراير ، قالت Platypus إنها تعمل على خطة لتعويض الأضرار وطلبت من المستخدمين عدم إدراك خسائرهم في البروتوكول ، قائلة إن هذا سيجعل من الصعب على الشركة إدارة المشكلة.
وقال البروتوكول إن تصفية الأصول توقفت مؤقتًا أيضًا. تعمل الشركة حاليًا على خطة تعويضات عن خسائر المستخدمين سيتم الكشف عنها قريبًا.
وفقًا للشركة ، تشارك أطراف مختلفة ، بما في ذلك مسؤولي إنفاذ القانون ، حاليًا في عملية استرداد الأموال. وأشار خلد الماء إلى أنه سيتم الكشف عن مزيد من التفاصيل حول الخطوات التالية قريبًا.
جزء من الأموال محجوز في بروتوكول Aave . تستكشف الشركة طريقة لاسترداد الأموال بشكل محتمل ، الأمر الذي يتطلب الموافقة على اقتراح الاسترداد في منتدى حوكمة Aave .
جهود استرداد الأموال
بعد الهجوم ، اجتمع أعضاء مجتمع التشفير معًا لاسترداد الأموال. قال ZachXBT ، الباحث في عملية احتيال التشفير ، على Twitter إنه trac عنوان محفظة المهاجم بعد مراجعة تاريخ السلسلة الخاص به عبر سلاسل متعددة.
قام Platypus ، بمساعدة BlockSec ، بتحديث trac لمواجهة استغلال 2.4 مليون دولار من دولارات الولايات المتحدة من المتسلل. لقد قاموا بتحديثه بحيث أنه عندما قام الاستغلال trac USDC (الذي يُخدع للاعتقاد بأنه قرض سريع) كضمان لصك USP ، يمكنهم خداع الكود الذي يدين به بقيمة 0 USDC ، كما قال مستخدم تويتر. .
تم إرسال USDC من المسبح الوهمي إلى عناوين مشفرة لتجنب المتسابقين الأماميين المعممين ، على تويتر. وقالوا إنه من المحتمل أن يكون استرداد الأصول الأخرى أكثر صعوبة ، لكن بالنظر إلى أنها تتحكم في رمز التجمع ، فإن لها سيطرة كبيرة.
بالإضافة إلى هذه الجهود ، تعمل الشركة مع Binance و Tether و Circle لتجميد أموال المتسلل ومنع المزيد من الخسائر. يقوم الفريق أيضًا بالاتصال بجهات إنفاذ القانون وسيصدر المزيد من الإعلانات بمجرد التأكيد.
