Na quinta-feira, 17 de fevereiro, Platypus, um protocolo de troca de stablecoin DeFi Avalanche , foi explorado por US$ 8,5 milhões. A exploração ocorreu por meio de um ataque instantâneo de empréstimo que se aproveitou de uma falha em seu mecanismo de verificação de solvência da USP.
Essa falha enganou os trac inteligentes da Platypus, fazendo-os pensar que a USP estava totalmente apoiada, fazendo com que quase US$ 8,5 milhões fossem transferidos do protocolo.
A stablecoin da Platypus, USP, perdeu sua indexação ao dólar, caindo para US$ 0,33. Em seguida, recuperou-se brevemente para US$ 0,97, mas desde então caiu para US$ 0,48, mostram dados da CoinGecko. Platypus disse que apenas 35% dos depósitos dos usuários da Platypus são cobertos por outras participações.
De acordo com uma análise técnica post-mortem da empresa de auditoria Omniscia, o ataque ao Platypus foi possível devido ao código colocado incorretamente após ter sido auditado.
Omniscia auditou uma versão do trac MasterPlatypusV1 de 21 de novembro a 5 de dezembro de 2021. A versão auditada “não continha pontos de integração com um sistema externo platypusTreasure” e, portanto, não continha linhas de código mal ordenadas.
A vulnerabilidade parece estar na verificação do trac MasterPlatypusV4 usando a função EmergencyWithdraw, que só falhará quando o ativo emprestado exceder o limite de empréstimo.
Isso permitiu que o invasor usasse um empréstimo rápido para explorar um erro lógico no mecanismo de verificação de solvência do USP no trac que continha a garantia.
Plano de compensação da Platypus para usuários
Em um tweet de 18 de fevereiro, a Platypus disse que estava trabalhando em um plano para compensar os danos e pediu aos usuários que não percebessem suas perdas no protocolo, dizendo que isso tornaria mais difícil para a empresa gerenciar o problema.
As liquidações de ativos também estão pausadas, disse o protocolo. A empresa trabalha atualmente em um plano de compensação pelos prejuízos dos usuários, que será divulgado em breve.
Segundo a empresa, diferentes partes, incluindo autoridades legais, estão atualmente envolvidas no processo de recuperação dos fundos. Mais detalhes sobre os próximos passos serão divulgados em breve, observou Platypus.
Parte dos fundos está bloqueada no protocolo Aave . A empresa está explorando um método para potencialmente recuperar os fundos, o que exigiria a aprovação de uma proposta de recuperação no fórum de governança da Aave .
Esforços para recuperar fundos
Após o ataque, os membros da comunidade criptográfica se uniram para recuperar os fundos. ZachXBT, um pesquisador de fraudes criptográficas, disse no Twitter que trac o endereço da carteira do invasor depois de revisar seu próprio histórico de cadeias em várias cadeias.
A Platypus, com a ajuda da BlockSec, atualizou seu trac de pool para contra-explorar US$ 2,4 milhões em USDC do hacker. Eles o atualizaram de tal forma que, quando o trac de exploração depositou o USDC (que é enganado para acreditar ser um empréstimo instantâneo) como garantia para a cunhagem da USP, eles poderiam enganar o código que devia 0 USDC de volta, disse o usuário do Twitter nervoso .
O USDC do pool falso foi enviado para endereços codificados para evitar candidatos generalizados, tuitou nervoir. Os outros ativos provavelmente serão mais difíceis de recuperar, mas como controlam o código do pool, eles têm um controle significativo, disseram.
Além desses esforços, a empresa está trabalhando com Binance , Tether e Circle para congelar os fundos do hacker e evitar maiores perdas. A equipe também está entrando em contato com as autoridades e fará novos anúncios assim que confirmados.
