Platypus tornou-se o último protocolo de financiamento descentralizado (DeFi) a sofrer um ataque. De facto, foi vítima de um hack de 8,5 milhões de dólares, na sequência de uma manipulação através de um método de empréstimo flash. Felizmente, uma parte significativa dos fundos já foi recuperada graças aos esforços cooperativos de vários actores.
Platypus tem $8,5 milhões de dólares roubados
O protocolo financeiro descentralizado (DeFi) Platypus, alojado na Avalanche (AVAX), sofreu um hack no valor de $8,5 milhões em 16 de Fevereiro. A informação foi inicialmente relatada pela empresa de segurança CertiK, antes de ser confirmada hoje pela Platypus no Twitter.
Comunidade Dear,
Lamentamos informar que o nosso protocolo foi invadido recentemente, e o agressor aproveitou uma falha no nosso mecanismo de verificação de solvência USP. Usaram um flashloan para explorar um erro lógico no mecanismo de verificação de solvência USP no contrato que detinha a garantia.– Platypus (++) (@Platypusdefi) Fevereiro 17, 2023
Segundo Platypus, o hack apenas afecta a principal piscina de dinheiro contendo USP (a moeda estável do protocolo), e as outras piscinas estariam seguras. No entanto, de momento, os fundos dos clientes na piscina afectada são presumivelmente apenas cobertos até 35%.
Como resultado, o USP perdeu a sua ligação ao dólar americano durante algum tempo, perdendo assim 50% do seu preço de referência.
72hr USP price
O atacante utilizou um método de empréstimo instantâneo para atingir o seu objectivo, uma forma de empréstimo instantâneo para encontrar oportunidades de arbitragem, infelizmente muitas vezes utilizado para atacar protocolos. Este é o processo que foi utilizado no ataque ao protocolo Nereus Finance em Setembro passado.
Neste caso, os fundos do hacker foram rastreados, e alguns já foram colocados na lista negra pela Tether. Platypus anunciou que também contactou a Circle and Binance para tentar congelar alguns dos fundos restantes.
Identidade do Hacker revelada
Investigator ZachXBT, conhecido pelas suas investigações na cadeia, revelou a alegada identidade do hacker depois de estudar várias pistas que apontavam para o mesmo indivíduo. A pessoa identificada no tweet apagou desde então a sua conta no Twitter, bem como a sua conta Instagram.
Além disso, foram iniciadas negociações entre Platypus e o hacker, para que este último possa eventualmente devolver os fundos e manter uma parte deles. Segundo ZachXBT, uma recusa do hacker poderia resultar numa investigação legal contra ele.
Hi @retlqw desde que desactivou a sua conta depois de eu lhe ter enviado uma mensagem.
Rastreei endereços até à sua conta a partir da exploração @Platypusdefi e estou em contacto com a sua equipa e intercâmbios.
Gostaríamos de negociar a devolução dos fundos antes de nos envolvermos com a aplicação da lei. pic.twitter.com/oJdAc9IIkD
– ZachXBT (@zachxbt) Fevereiro 17, 2023
Eu rastreei os endereços da sua conta a partir da exploração do Platypus e estou em contacto com a sua equipa e alguns intercâmbios. […] Examinei o vosso histórico de transacções em várias cadeias de bloqueio, o que me levou ao vosso endereço ENS retlqw.eth. A vossa conta OpenSea está directamente ligada ao vosso Twitter e gostaram de um Tweet sobre a exploração do Platypus: “
Segundo o último tweet da Platypus, o protocolo conseguiu recuperar 2,4 milhões USDC graças à cooperação da empresa de auditoria BlockSec, pouco mais de um quarto do total.
