Torsdagen den 17 februari exploaterades Platypus, ett DeFi stablecoin swapping-protokoll på Avalanche , för DeFi miljoner Avalanche . Exploateringen skedde via en flashlånsattack som utnyttjade ett fel i dess USP-solvenskontrollmekanism.
Denna brist lurade Platypus smarta trac att tro att USP var fullt uppbackad, vilket ledde till att nästan 8,5 miljoner dollar flyttades från protokollet.
Platypus's stablecoin, USP, tappade sin koppling till dollarn och sjönk till $0,33. Det återhämtade sig sedan kort till $0,97, men har sedan dess fallit tillbaka till $0,48, visar data från CoinGecko. Platypus sa att endast 35 % av Platypus användarinsättningar täcks av andra innehav.
Enligt en teknisk obduktionsanalys av revisionsföretaget Omniscia, möjliggjordes attacken mot Platypus av felaktigt placerad kod efter att den granskats.
Omniscia granskade en version av MasterPlatypusV1- trac från 21 november till 5 december 2021. Den version som granskades "innehöll inga integrationspunkter med ett externt platypusTreasure-system" och innehöll därför inte de felordnade kodraderna.
Sårbarheten verkar ligga i att verifiera MasterPlatypusV4- trac med hjälp av EmergencyWithdraw-funktionen, som bara kommer att misslyckas när den lånade tillgången överskrider lånegränsen.
Detta gjorde det möjligt för angriparen att använda ett flashlån för att utnyttja ett logiskt fel i USP:s solvenskontrollmekanism i trac som innehöll säkerheten.
Platypuss kompensationsplan för användare
I en tweet den 18 februari sa Platypus att de arbetade på en plan för att kompensera skadorna och bad användarna att inte inse sina förluster i protokollet, och sa att detta skulle göra det svårare för företaget att hantera problemet.
Likvidationer av tillgångar är också pausade, sade protokollet. Företaget arbetar för närvarande med en kompensationsplan för användarnas förluster, som kommer att offentliggöras inom kort.
Enligt företaget är olika parter, inklusive rättsvårdande tjänstemän, för närvarande involverade i fondernas återvinningsprocess. Ytterligare detaljer om nästa steg kommer att avslöjas snart, noterade Platypus.
En del av medlen är låsta i Aave -protokollet. Företaget undersöker en metod för att potentiellt återvinna medlen, vilket skulle kräva ett godkännande av ett återvinningsförslag i Aave styrningsforum.
Ansträngningar att återvinna medel
Efter attacken samlades medlemmar av kryptogemenskapen för att få tillbaka pengarna. ZachXBT, en kryptobedrägeriforskare, sa på Twitter att han trac angriparens plånboksadress efter att ha granskat sin egen kedjehistorik över flera kedjor.
Platypus, med hjälp av BlockSec, uppdaterade sin trac för att motutnyttja 2,4 miljoner USD i USDC från hackaren. De uppdaterade det så att när exploateringsavtalet trac USDC (som det är lurat att tro är ett snabblån) som säkerhet för myntandet av USP, kunde de lura tillbaka koden som den var skyldig 0 USDC, sa Twitter-användare nervoir .
USDC från den falska poolen skickades till hårdkodade adresser för att undvika generaliserade frontrunners, twittrade nervoir. De andra tillgångarna kommer förmodligen att bli svårare att återvinna men med tanke på att de kontrollerar poolkoden har de betydande kontroll, sa de.
Utöver dessa ansträngningar arbetar företaget med Binance , Tether och Circle för att frysa hackarens pengar och förhindra ytterligare förluster. Teamet kontaktar också brottsbekämpning och kommer att göra ytterligare meddelanden när de har bekräftats.
