Platypus stał się najnowszym zdecentralizowanym protokołem finansowym (DeFi), który doznał ataku. Rzeczywiście, padł on ofiarą włamania o wartości 8,5 miliona dolarów po manipulacji metodą flash loan. Na szczęście znaczna część środków została już odzyskana dzięki współpracy różnych podmiotów.
Platypus ma skradzione 8,5 mln dolarów
Zdecentralizowany protokół finansowy (DeFi) Platypus, hostowany na Avalanche (AVAX), doznał 16 lutego włamania o wartości 8,5 miliona dolarów. Informacja została najpierw zgłoszona przez firmę CertiK zajmującą się bezpieczeństwem blockchain, przed potwierdzeniem jej dzisiaj przez Platypus na Twitterze.
Droga Społeczności,
Z przykrością informujemy, że nasz protokół został niedawno zhakowany, a atakujący wykorzystał wadę w naszym mechanizmie sprawdzania wypłacalności USP. Wykorzystali oni flashloan do wykorzystania błędu logicznego w mechanizmie sprawdzania wypłacalności USP w umowie trzymającej zabezpieczenie.– Platypus (++) (@Platypusdefi) 17 lutego 2023
Według Platypusa, włamanie dotyczy tylko głównego cash pool’a zawierającego USP (stablecoin protokołu), a pozostałe pule byłyby bezpieczne. Jednak w tej chwili środki klientów w dotkniętej puli są przypuszczalnie pokryte tylko w zakresie 35%.
W rezultacie USP stracił na jakiś czas swój peg do dolara amerykańskiego, tracąc tym samym 50% swojej ceny referencyjnej.
72hr USP price
Atakujący wykorzystał do osiągnięcia swojego celu metodę flash loan, czyli formę błyskawicznej pożyczki w celu znalezienia okazji arbitrażowych, niestety często wykorzystywaną do atakowania protokołów. Właśnie ten proces został wykorzystany w ataku na protokół Nereus Finance we wrześniu ubiegłego roku.
W tym przypadku środki hakera zostały wyśledzone, a część z nich trafiła już na czarną listę Tethera. Platypus poinformował, że skontaktował się również z Circle i Binance, aby spróbować zamrozić część pozostałych środków.
Tożsamość hakera ujawniona
Inwestor ZachXBT, znany ze swoich śledztw on-chain, ujawnił domniemaną tożsamość hakera po przestudiowaniu różnych wskazówek wskazujących na tę samą osobę. Osoba zidentyfikowana w tweecie od tego czasu usunęła swoje konto na Twitterze, a także na Instagramie.
Ponadto rozpoczęto negocjacje między Platypusem a hakerem, aby ten ostatni mógł ostatecznie zwrócić środki i zatrzymać ich część. Według ZachXBT, odmowa ze strony hakera może skutkować wszczęciem przeciwko niemu dochodzenia prawnego.
Hi @retlqw ponieważ dezaktywowałeś swoje konto po tym, jak wysłałem Ci wiadomość.
Namierzyłem adresy z powrotem do Twojego konta z @Platypusdefi exploita i jestem w kontakcie z ich zespołem i wymianą.
Chcielibyśmy wynegocjować zwrot środków, zanim zaangażujemy się w działania organów ścigania. pic.twitter.com/oJdAc9IIkD
– ZachXBT (@zachxbt) 17 lutego 2023
Wyśledziłem adresy waszych kont z exploita Platypus i jestem w kontakcie z ich zespołem i niektórymi wymianami. […] Zbadałem Twoją historię transakcji na kilku blockchainach, co doprowadziło mnie do Twojego adresu ENS retlqw.eth. Twoje konto OpenSea jest bezpośrednio połączone z Twoim Twitterem i polubiłeś Tweeta o exploicie Platypus. „
Zgodnie z najnowszym tweetem Platypusa, dzięki współpracy z firmą BlockSec zajmującą się audytem blockchain, udało się odzyskać 2,4 mln USDC, czyli nieco ponad jedną czwartą całości.
