Giovedì 17 febbraio Platypus, un protocollo di scambio di stablecoin DeFi Avalanche , è stato sfruttato per 8,5 milioni di dollari. L'exploit è avvenuto tramite un attacco di prestito flash che ha sfruttato un difetto nel meccanismo di controllo della solvibilità dell'USP.
Questo difetto ha indotto gli smart trac di Platypus a credere che l’USP fosse completamente sostenuto, portando allo spostamento di quasi 8,5 milioni di dollari dal protocollo.
La stablecoin di Platypus, USP, ha perso il suo ancoraggio al dollaro, scendendo a 0,33 dollari. Successivamente è recuperato brevemente a 0,97 dollari, ma da allora è tornato a 0,48 dollari, come mostrano i dati di CoinGecko. Platypus ha affermato che solo il 35% dei depositi degli utenti di Platypus sono coperti da altre partecipazioni.
Secondo un'analisi tecnica post mortem della società di revisione Omniscia, l'attacco a Platypus è stato reso possibile da un codice inserito in modo errato dopo l'audit.
Omniscia ha controllato una versione del trac MasterPlatypusV1 dal 21 novembre al 5 dicembre 2021. La versione controllata "non conteneva punti di integrazione con un sistema platypusTreasure esterno" e quindi non conteneva righe di codice ordinate in modo errato.
La vulnerabilità sembra risiedere nella verifica del trac MasterPlatypusV4 utilizzando la funzione EmergencyWithdraw, che fallirà solo quando il bene preso in prestito supera il limite di prestito.
Ciò ha consentito all’aggressore di utilizzare un prestito lampo per sfruttare un errore logico nel meccanismo di controllo della solvibilità dell’USP nel trac che detiene la garanzia.
Il piano di compensazione di Platypus per gli utenti
In un tweet del 18 febbraio, Platypus ha affermato che sta lavorando a un piano per risarcire i danni e ha chiesto agli utenti di non rendersi conto delle perdite subite nel protocollo, affermando che ciò renderebbe più difficile per l'azienda gestire il problema.
Anche le liquidazioni di asset sono sospese, afferma il protocollo. La società sta attualmente lavorando a un piano di compensazione per le perdite degli utenti, che sarà reso noto a breve.
Secondo l'azienda, diverse parti, tra cui le forze dell'ordine, sono attualmente coinvolte nel processo di recupero dei fondi. Ulteriori dettagli sui prossimi passi saranno resi noti presto, ha osservato Platypus.
Una parte dei fondi è bloccata nel protocollo Aave . La società sta esplorando un metodo per recuperare potenzialmente i fondi, che richiederebbe l’approvazione di una proposta di recupero nel forum di governance di Aave .
Sforzi per recuperare fondi
Dopo l'attacco, i membri della comunità crittografica si sono riuniti per recuperare i fondi. ZachXBT, un ricercatore di truffe crittografiche, ha dichiarato su Twitter di aver trac l'indirizzo del portafoglio dell'aggressore dopo aver esaminato la cronologia della propria catena su più catene.
Platypus, con l'aiuto di BlockSec, ha aggiornato il suo trac di pool per contro-sfruttare 2,4 milioni di dollari in USDC da parte dell'hacker. Lo hanno aggiornato in modo tale che quando il trac di exploit ha depositato l'USDC (che si è indotti a credere sia un prestito flash) come garanzia per il conio di USP, avrebbero potuto ingannare il codice che doveva indietro 0 USDC, ha detto l'utente di Twitter nervoir .
L'USDC del pool falso è stato inviato a indirizzi hardcoded per evitare favoriti generalizzati, ha twittato Nervoir. Gli altri asset saranno probabilmente più difficili da recuperare, ma dato che controllano il codice del pool hanno un controllo significativo, hanno detto.
Oltre a questi sforzi, l’azienda sta collaborando con Binance , Tether e Circle per congelare i fondi degli hacker e prevenire ulteriori perdite. Il team sta anche contattando le forze dell'ordine e farà ulteriori annunci una volta confermato.
