Am Donnerstag, dem 17. Februar, wurde Platypus, ein DeFi Stablecoin-Swapping-Protokoll auf Avalanche , für 8,5 Millionen Dollar ausgebeutet Der Exploit erfolgte über einen Flash-Loan-Angriff, der einen Fehler in seinem USP-Solvenzprüfungsmechanismus ausnutzte.
Dieser Fehler verleitete die intelligenten trac von Platypus zu der Annahme, dass USP vollständig unterstützt wurde, was dazu führte, dass fast 8,5 Millionen US-Dollar aus dem Protokoll entfernt wurden.
Der Stablecoin von Platypus, USP, verlor seine Bindung an den Dollar und fiel auf 0,33 $. Es erholte sich dann kurzzeitig auf 0,97 $, ist aber seitdem wieder auf 0,48 $ gefallen, wie Daten von CoinGecko zeigen. Platypus sagte, dass nur 35 % der Benutzereinlagen von Platypus durch andere Bestände gedeckt sind.
Laut einer technischen Post-Mortem-Analyse der Wirtschaftsprüfungsgesellschaft Omniscia wurde der Angriff auf Platypus durch falsch platzierten Code nach dessen Prüfung ermöglicht.
Omniscia hat eine Version des MasterPlatypusV1- trac vom 21. November bis 5. Dezember 2021 geprüft. Die geprüfte Version „enthielt keine Integrationspunkte mit einem externen platypusTreasure-System“ und enthielt daher nicht die falsch angeordneten Codezeilen.
Die Schwachstelle scheint in der Überprüfung des MasterPlatypusV4- trac mit der EmergencyWithdraw-Funktion zu liegen, die nur dann fehlschlägt, wenn der geliehene Vermögenswert das Leihlimit überschreitet.
Dies ermöglichte es dem Angreifer, mit einem Flash-Darlehen einen Logikfehler im Mechanismus der USP-Solvenzprüfung in dem trac auszunutzen, der die Sicherheiten hält.
Der Vergütungsplan von Platypus für Benutzer
In einem Tweet vom 18. Februar sagte Platypus, es arbeite an einem Plan zur Entschädigung der Schäden und forderte die Benutzer auf, ihre Verluste nicht im Protokoll zu erkennen, da dies es dem Unternehmen erschweren würde, das Problem zu bewältigen.
Auch die Liquidation von Vermögenswerten wird ausgesetzt, heißt es im Protokoll. Das Unternehmen arbeitet derzeit an einem Entschädigungsplan für die Verluste der Benutzer, der in Kürze bekannt gegeben wird.
Nach Angaben des Unternehmens sind derzeit verschiedene Parteien, darunter auch Vollzugsbeamte, am Rückforderungsprozess der Gelder beteiligt. Weitere Einzelheiten zu den nächsten Schritten werden in Kürze bekannt gegeben, so Platypus.
Ein Teil der Gelder ist im Aave -Protokoll eingeschlossen. Das Unternehmen untersucht eine Methode zur potenziellen Rückforderung der Gelder, was die Genehmigung eines Rückforderungsvorschlags im Governance-Forum von Aave erfordern würde.
Bemühungen um die Wiedererlangung von Geldern
Nach dem Angriff kamen Mitglieder der Krypto-Community zusammen, um die Gelder zurückzugewinnen. ZachXBT, ein Krypto-Betrugsforscher, sagte auf Twitter, dass er trac gemacht habe, nachdem er seine eigene Chain-Geschichte über mehrere Chains hinweg überprüft habe.
Platypus aktualisierte mit Hilfe von BlockSec seinen Pool- trac , um USDC im Wert von 2,4 Millionen US-Dollar vom Hacker auszubeuten. Sie haben es so aktualisiert, dass, als der Exploit- trac den USDC (von dem getäuscht wird, dass es sich um einen Flash-Kredit handelt) als Sicherheit für die Prägung von USP hinterlegt wurde, sie den Code austricksen konnten, dass er 0 USDC zurückschuldete, sagte der Twitter-Benutzer Nervoir .
Der USDC aus dem gefälschten Pool wurde an fest codierte Adressen gesendet, um verallgemeinerte Spitzenreiter zu vermeiden, twitterte Nervoir. Die anderen Vermögenswerte werden wahrscheinlich schwieriger wiederzugewinnen sein, aber da sie den Poolcode kontrollieren, haben sie eine erhebliche Kontrolle, sagten sie.
Zusätzlich zu diesen Bemühungen arbeitet das Unternehmen mit Binance , Tether und Circle zusammen, um die Gelder des Hackers einzufrieren und weitere Verluste zu verhindern. Das Team kontaktiert auch die Strafverfolgungsbehörden und wird weitere Ankündigungen machen, sobald dies bestätigt ist.
