В четверг, 17 февраля, Platypus, DeFi на Avalanche , был использован за 8,5 миллионов долларов. Эксплойт произошел с помощью атаки с использованием флэш-кредита, которая воспользовалась уязвимостью в механизме проверки платежеспособности USP.
Эта уязвимость заставила смарт- trac Platypus думать, что USP полностью обеспечена, что привело к выводу почти 8,5 миллионов долларов из протокола.
Стейблкоин Platypus, USP, потерял привязку к доллару, упав до 0,33 доллара. Затем он ненадолго восстановился до 0,97 доллара, но с тех пор снова упал до 0,48 доллара, как показывают данные CoinGecko. Platypus заявил, что только 35% депозитов пользователей Platypus покрываются другими активами.
Согласно техническому анализу, проведенному аудиторской компанией Omniscia, атака на Platypus стала возможной из-за неправильно размещенного кода после его проверки.
Omniscia провела аудит версии trac MasterPlatypusV1 с 21 ноября по 5 декабря 2021 года. Версия, которая была проверена, «не содержала точек интеграции с внешней системой platypusTreasure» и, следовательно, не содержала неправильно упорядоченных строк кода.
Уязвимость, по-видимому, заключается в проверке trac MasterPlatypusV4 с использованием функции EmergencyWithdraw, которая дает сбой только тогда, когда заемный актив превышает лимит заимствования.
Это позволило злоумышленнику использовать экспресс-кредит для использования логической ошибки в механизме проверки платежеспособности УТП в trac , удерживающем залог.
Компенсационный план Platypus для пользователей
В твите от 18 февраля Platypus сообщила, что работает над планом компенсации ущерба, и попросила пользователей не учитывать свои потери в протоколе, заявив, что это затруднит решение проблемы для компании.
Ликвидация активов также приостановлена, говорится в протоколе. В настоящее время компания работает над планом компенсации потерь пользователей, который будет раскрыт в ближайшее время.
По данным фирмы, в настоящее время в процессе возврата средств участвуют разные стороны, в том числе сотрудники правоохранительных органов. Дальнейшие подробности о следующих шагах будут раскрыты в ближайшее время, отметил Утконос.
Часть средств заблокирована в протоколе Aave . Компания изучает способ потенциального возврата средств, для чего потребуется одобрение предложения о возмещении на форуме управления Aave .
Попытки вернуть средства
После атаки члены криптосообщества объединились, чтобы вернуть средства. ZachXBT, исследователь крипто-мошенничества, сообщил в Твиттере, что он trac адрес кошелька злоумышленника после просмотра истории их собственной цепочки в нескольких цепочках.
Platypus с помощью BlockSec обновил свой пул- trac , чтобы противодействовать использованию хакером 2,4 миллиона долларов США в долларах США. Они обновили его таким образом, что, когда контракт на эксплойт trac доллары США (которые, как обманывают, считали быстрой ссудой) в качестве залога для чеканки USP, они могли обмануть код, который он должен вернуть 0 долларов США, сказал пользователь Twitter nervoir. .
USDC из поддельного пула были отправлены на жестко закодированные адреса, чтобы избежать общих лидеров, написал nervoir в Твиттере. По их словам, другие активы, вероятно, будет труднее восстановить, но, учитывая, что они контролируют код пула, они имеют значительный контроль.
В дополнение к этим усилиям компания работает с Binance , Tether и Circle, чтобы заморозить средства хакера и предотвратить дальнейшие потери. Команда также связывается с правоохранительными органами и сделает дополнительные объявления после подтверждения.