Platypus стана най-новият протокол за децентрализирани финанси (DeFi), който претърпя атака. Всъщност той стана жертва на хакерска атака на стойност 8,5 млн. долара след манипулация чрез метода на светкавичните заеми. За щастие значителна част от средствата вече е възстановена благодарение на съвместните усилия на различни участници.
Platypus е с откраднати 8,5 млн. долара
Децентрализираният финансов протокол (DeFi) Platypus, хостван на Avalanche (AVAX), претърпя хакерска атака на стойност 8,5 млн. долара на 16 февруари. Информацията беше съобщена първо от фирмата за блокчейн сигурност CertiK, преди да бъде потвърдена днес от Platypus в Twitter.
Скъпа общност,
Със съжаление ви съобщаваме, че наскоро нашият протокол беше хакнат, като нападателят се е възползвал от недостатък в нашия механизъм за проверка на платежоспособността на USP. Те използваха флашзаем, за да се възползват от логическа грешка в механизма за проверка на платежоспособността на USP в договора, който държи обезпечението.– Platypus (++) (@Platypusdefi) February 17, 2023
Според Platypus хакерската атака засяга само главния паричен пул, съдържащ USP (стабилната монета на протокола), а другите пулове са в безопасност. Към момента обаче средствата на клиентите в засегнатия пул вероятно са покрити само до 35%.
В резултат на това за известно време USP е загубил обвързаността си с щатския долар, като по този начин е загубил 50% от референтната си цена.
За постигане на целта си нападателят е използвал метод на светкавичен заем – форма на незабавен заем за намиране на възможности за арбитраж, за съжаление често използвана за атакуване на протоколи. Това е процесът, който беше използван при атаката срещу протокола Nereus Finance през септември миналата година.
В този случай средствата на хакера са проследени, а някои от тях вече са включени в черния списък на Tether. Platypus обяви, че се е свързала и с Circle и Binance, за да се опита да замрази част от останалите средства.
Самоличността на хакера е разкрита
Инвеститорът ZachXBT, известен със своите разследвания в рамките на веригата, разкри предполагаемата самоличност на хакера, след като проучи различни улики, сочещи към едно и също лице. Лицето, идентифицирано в туита, междувременно е изтрило профила си в Twitter, както и профила си в Instagram.
Освен това са започнали преговори между Platypus и хакера, за да може последният евентуално да върне средствата и да запази част от тях. Според ZachXBT отказът от страна на хакера може да доведе до правно разследване срещу него.
Здравейте @retlqw тъй като деактивирахте профила си, след като ви изпратих съобщение.
Проследих адресите обратно до вашия акаунт от експлойта @Platypusdefi и съм в контакт с техния екип и размяна.
Бихме искали да преговаряме за връщане на средствата, преди да се ангажираме с правоприлагащите органи. pic.twitter.com/oJdAc9IIkD
– ZachXBT (@zachxbt) February 17, 2023
Проследих адресите на акаунтите ви от експлойта Platypus и съм в контакт с техния екип и някои обмени. […] Разгледах историята на трансакциите ви в няколко блокчейна, което ме доведе до вашия ENS адрес retlqw.eth. Вашият акаунт в OpenSea е пряко свързан с вашия Twitter и сте харесали туит за експлойта Platypus. „
Според последния туит на Platypus протоколът е успял да възстанови 2,4 милиона USDC благодарение на сътрудничеството на фирмата за одит на блокчейн BlockSec, което е малко повече от една четвърт от общата сума.