Platypus se ha convertido en el último protocolo financiero descentralizado (DeFi) en sufrir un ataque. En efecto, ha sido víctima de un hackeo de 8,5 millones de dólares tras una manipulación a través de un método de préstamo flash. Afortunadamente, ya se ha recuperado una parte importante de los fondos gracias a los esfuerzos de cooperación de varios actores.
Platypus sufre el robo de 8,5 millones de dólares
El protocolo de finanzas descentralizadas (DeFi) Platypus, alojado en Avalanche (AVAX), sufrió un hackeo por valor de 8,5 millones de dólares el pasado 16 de febrero. La información fue comunicada en primer lugar por la empresa de seguridad de blockchain CertiK, antes de ser confirmada hoy por Platypus en Twitter.
Estimada comunidad,
Lamentamos informarles de que nuestro protocolo ha sido pirateado recientemente, y el atacante se aprovechó de un fallo en nuestro mecanismo de comprobación de solvencia USP. Utilizaron un flashloan para explotar un error lógico en el mecanismo de comprobación de solvencia de USP en el contrato que mantiene la garantía.– Platypus (++) (@Platypusdefi) February 17, 2023
Según Platypus, el hackeo sólo afecta al cash pool principal que contiene USP (la stablecoin del protocolo), y el resto de pools estarían a salvo. Sin embargo, por el momento, los fondos de los clientes en el pool afectado presumiblemente sólo están cubiertos en un 35%.
Como consecuencia, el USP ha perdido su vinculación al dólar estadounidense durante algún tiempo, con lo que ha perdido el 50% de su precio de referencia.
El atacante utilizó un método de préstamo flash para lograr su objetivo, una forma de préstamo instantáneo para encontrar oportunidades de arbitraje, desgraciadamente utilizado a menudo para atacar protocolos. Este es el proceso que se utilizó en el ataque al protocolo Nereus Finance el pasado mes de septiembre.
En este caso, los fondos del hacker han sido rastreados, y algunos ya han sido incluidos en la lista negra de Tether. Platypus ha anunciado que también se ha puesto en contacto con Circle y Binance para intentar congelar algunos de los fondos restantes.
Se revela la identidad del hacker
El investigador ZachXBT, conocido por sus investigaciones en la cadena, ha revelado la supuesta identidad del hacker tras estudiar varias pistas que apuntaban al mismo individuo. La persona identificada en el tuit ha eliminado desde entonces su cuenta de Twitter, así como su cuenta de Instagram.
Además, se han iniciado negociaciones entre Platypus y el hacker para que este último devuelva finalmente los fondos y se quede con una parte de ellos. Según ZachXBT, una negativa por parte del hacker podría dar lugar a una investigación legal en su contra.
Hola @retlqw desde que desactivaste tu cuenta después de que te enviara un mensaje.
He rastreado las direcciones hasta tu cuenta del exploit @Platypusdefi y estoy en contacto con su equipo e intercambios.
Nos gustaría negociar la devolución de los fondos antes de involucrarnos con las fuerzas del orden. pic.twitter.com/oJdAc9IIkD
– ZachXBT (@zachxbt) 17 de febrero de 2023
He rastreado las direcciones de sus cuentas desde el exploit Platypus y estoy en contacto con su equipo y algunos intercambios. […] He examinado tu historial de transacciones en varias blockchains, lo que me ha llevado a tu dirección ENS retlqw.eth. Tu cuenta de OpenSea está directamente vinculada a tu Twitter y te gustó un Tweet sobre el exploit Platypus. «
Según el último tuit de Platypus, el protocolo ha conseguido recuperar 2,4 millones de USDC gracias a la colaboración de la empresa de auditoría de blockchain BlockSec, algo más de una cuarta parte del total.