Platypus se stal nejnovějším decentralizovaným finančním (DeFi) protokolem, který utrpěl útok. Stal se totiž obětí hackerského útoku v hodnotě 8,5 milionu dolarů, který následoval po manipulaci prostřednictvím metody flash loan. Naštěstí se již podařilo značnou část prostředků získat zpět díky společnému úsilí různých aktérů.
Platypusu bylo ukradeno 8,5 milionu dolarů
Decentralizovaný finanční protokol (DeFi) Platypus, hostovaný na platformě Avalanche (AVAX), utrpěl 16. února hackerský útok v hodnotě 8,5 milionu dolarů. Informaci nejprve oznámila blockchainová bezpečnostní firma CertiK a dnes ji na Twitteru potvrdila společnost Platypus.
Vážená komunito,
s politováním vás musíme informovat, že náš protokol byl nedávno hacknut a útočník využil chybu v našem mechanismu kontroly solventnosti USP. Použil bleskovou půjčku, aby využil logickou chybu v mechanismu kontroly solventnosti USP ve smlouvě držící zástavu.– Platypus (++) (@Platypusdefi) February 17, 2023
Podle společnosti Platypus se hackerský útok týká pouze hlavního cash poolu obsahujícího USP (stablecoin protokolu) a ostatní pooly by měly být v bezpečí. V současné době jsou však prostředky zákazníků v postiženém poolu pravděpodobně kryty pouze do výše 35 %.
V důsledku toho USP na nějakou dobu ztratil vazbu na americký dolar, čímž přišel o 50 % své referenční ceny.
Útočník k dosažení svého cíle použil metodu bleskové půjčky, což je forma okamžité půjčky k nalezení arbitrážních příležitostí, bohužel často využívaná k útokům na protokoly. Tento postup byl použit při útoku na protokol Nereus Finance v září loňského roku.
V tomto případě byly hackerovy prostředky vystopovány a některé z nich již Tether zařadil na černou listinu. Společnost Platypus oznámila, že kontaktovala také společnosti Circle a Binance, aby se pokusila zmrazit část zbývajících prostředků.
Identita hackera odhalena
Investigativec ZachXBT, známý svými vyšetřováními na řetězci, odhalil údajnou identitu hackera poté, co prostudoval různé stopy, které ukazují na stejnou osobu. Osoba identifikovaná v tweetu mezitím smazala svůj účet na Twitteru i na Instagramu.
Kromě toho byla zahájena jednání mezi společností Platypus a hackerem, aby tento mohl případně vrátit finanční prostředky a část si ponechat. Podle ZachXBT by odmítnutí ze strany hackera mohlo vést k právnímu vyšetřování jeho osoby.
Ahoj @retlqw protože jsi po mém sdělení deaktivoval svůj účet.
Vystopoval jsem adresy zpět k vašemu účtu z @Platypusdefi exploit a jsem v kontaktu s jejich týmem a výměnami.
Rádi bychom se domluvili na vrácení prostředků, než se zapojíme do vymáhání práva. pic.twitter.com/oJdAc9IIkD
– ZachXBT (@zachxbt) 17. února 2023
Dohledal jsem adresy vašich účtů z exploitu Platypus a jsem v kontaktu s jejich týmem a některými výměnami. […] Prozkoumal jsem historii vašich transakcí na několika blockchainech, což mě dovedlo k vaší ENS adrese retlqw.eth. Váš účet OpenSea je přímo propojen s vaším Twitterem a líbil se vám tweet o exploitu Platypus.“
Podle posledního tweetu od Platypusu se díky spolupráci s blockchainovou auditorskou firmou BlockSec podařilo získat zpět 2,4 milionu USDC, což je něco málo přes čtvrtinu celkového objemu protokolu.