El jueves 17 de febrero, Platypus, un protocolo de intercambio de monedas estables DeFi Avalanche , fue explotado por $ 8.5 millones. El exploit ocurrió a través de un ataque de préstamo rápido que aprovechó una falla en su mecanismo de verificación de solvencia de USP.
Esta falla engañó a los trac inteligentes de Platypus para que pensaran que la USP estaba totalmente respaldada, lo que llevó a que se movieran casi $ 8.5 millones del protocolo.
La moneda estable de Platypus, USP, perdió su paridad con el dólar, cayendo a $0,33. Luego se recuperó brevemente a $0,97, pero desde entonces ha vuelto a bajar a $0,48, según muestran los datos de CoinGecko. Platypus dijo que solo el 35% de los depósitos de los usuarios de Platypus están cubiertos por otras participaciones.
Según un análisis técnico post-mortem realizado por la empresa de auditoría Omniscia, el ataque a Platypus fue posible gracias a un código colocado incorrectamente después de que se auditara.
Omniscia auditó una versión del trac MasterPlatypusV1 del 21 de noviembre al 5 de diciembre de 2021. La versión auditada "no contenía puntos de integración con un sistema ornitorrinco externo" y, por lo tanto, no contenía las líneas de código desordenadas.
La vulnerabilidad parece estar en la verificación del trac MasterPlatypusV4 usando la función EmergencyWithdraw, que solo fallará cuando el activo prestado exceda el límite de préstamo.
Esto permitió al atacante usar un préstamo rápido para explotar un error lógico en el mecanismo de verificación de solvencia de la USP en el trac que contiene la garantía.
Plan de compensación de Ornitorrinco para usuarios
En un tuit del 18 de febrero, Platypus dijo que estaba trabajando en un plan para compensar los daños y pidió a los usuarios que no se dieran cuenta de sus pérdidas en el protocolo, diciendo que esto dificultaría que la empresa manejara el problema.
Las liquidaciones de activos también están en pausa, dijo el protocolo. Actualmente, la compañía está trabajando en un plan de compensación por pérdidas de los usuarios, que se dará a conocer próximamente.
Según la firma, diferentes partes, incluidos los funcionarios encargados de hacer cumplir la ley, están actualmente involucradas en el proceso de recuperación de los fondos. Próximamente se darán a conocer más detalles sobre los próximos pasos, señaló Platypus.
Parte de los fondos está bloqueado en el protocolo Aave . La empresa está explorando un método para recuperar potencialmente los fondos, lo que requeriría la aprobación de una propuesta de recuperación en el foro de gobierno de Aave .
Esfuerzos para recuperar fondos
Después del ataque, los miembros de la criptocomunidad se unieron para recuperar los fondos. ZachXBT, un investigador de estafas criptográficas, dijo en Twitter que trac la dirección de la billetera del atacante después de revisar su propio historial de cadenas en varias cadenas.
Platypus, con la ayuda de BlockSec, actualizó su trac de grupo para contrarrestar la explotación de $ 2.4 millones en USDC del hacker. Lo actualizaron de tal manera que cuando el trac de explotación depositó el USDC (que se engaña para creer que es un préstamo flash) como garantía para la acuñación de USP, podrían engañar al código que le debía 0 USDC, dijo el usuario de Twitter nervoir .
El USDC del grupo falso se envió a direcciones codificadas para evitar los principales corredores generalizados, tuiteó nervoir. Los otros activos probablemente serán más difíciles de recuperar, pero dado que controlan el código del grupo, tienen un control significativo, dijeron.
Además de estos esfuerzos, la empresa está trabajando con Binance , Tether y Circle para congelar los fondos del hacker y evitar más pérdidas. El equipo también se está comunicando con la policía y hará más anuncios una vez que se confirme.
