Platypus is het laatste gedecentraliseerde financiële (DeFi) protocol dat onder een aanval te lijden heeft. Het is namelijk het slachtoffer geworden van een hack van 8,5 miljoen dollar na een manipulatie via een flitsleningmethode. Gelukkig is een aanzienlijk deel van de fondsen al teruggevonden dankzij de gezamenlijke inspanningen van verschillende actoren.
Platypus heeft 8,5 miljoen dollar gestolen
Het gedecentraliseerde financiële protocol (DeFi) Platypus, gehost op Avalanche (AVAX), heeft op 16 februari een hack ter waarde van 8,5 miljoen dollar ondergaan. De informatie werd eerst gemeld door blockchain beveiligingsbedrijf CertiK, voordat het vandaag werd bevestigd door Platypus op Twitter.
Dear Community,
Het spijt ons u te moeten informeren dat ons protocol onlangs is gehackt, en de aanvaller heeft gebruik gemaakt van een fout in ons USP solvabiliteitscontrolemechanisme. Ze gebruikten een flashloan om een logische fout in het USP solvabiliteitscontrolemechanisme in het contract dat het onderpand bevatte uit te buiten.– Platypus (++) (@Platypusdefi) Februari 17, 2023
Volgens Platypus treft de hack alleen de belangrijkste cash pool met USP (de stablecoin van het protocol), en zouden de andere pools veilig zijn. Op dit moment zijn de fondsen van klanten in de getroffen pool echter vermoedelijk slechts voor 35% gedekt.
Als gevolg daarvan is de USP zijn koppeling aan de Amerikaanse dollar al enige tijd kwijt, waardoor 50% van zijn referentieprijs verloren is gegaan.
De aanvaller gebruikte een flitsleningmethode om zijn doel te bereiken, een vorm van onmiddellijke lening om arbitragemogelijkheden te vinden, helaas vaak gebruikt om protocollen aan te vallen. Dit is het proces dat werd gebruikt bij de aanval op het Nereus Finance protocol afgelopen september.
In dit geval zijn de fondsen van de hacker getraceerd, en sommige zijn al op de zwarte lijst van Tether geplaatst. Platypus heeft aangekondigd dat het ook contact heeft opgenomen met Circle en Binance om te proberen een deel van de resterende fondsen te bevriezen.
Identiteit hacker onthuld
Investeerder ZachXBT, bekend om zijn on-chain onderzoeken, heeft de vermeende identiteit van de hacker onthuld na het bestuderen van verschillende aanwijzingen die naar dezelfde persoon wijzen. De in de tweet geïdentificeerde persoon heeft sindsdien zowel zijn Twitter-account als zijn Instagram-account verwijderd.
Bovendien zijn er onderhandelingen gestart tussen Platypus en de hacker zodat deze laatste uiteindelijk de fondsen kan teruggeven en een deel ervan kan behouden. Volgens ZachXBT zou een weigering van de hacker kunnen leiden tot een juridisch onderzoek tegen hem.
Hi @retlqw aangezien je je account hebt gedeactiveerd nadat ik je een bericht had gestuurd.
Ik heb adressen getraceerd naar uw account van de @Platypusdefi exploit en ik heb contact met hun team en uitwisselingen.
We willen onderhandelen over de teruggave van de fondsen voordat we de politie inschakelen. pic.twitter.com/oJdAc9IIkD
– ZachXBT (@zachxbt) Februari 17, 2023
Ik heb uw accountadressen van de Platypus exploit getraceerd en ben in contact met hun team en enkele uitwisselingen. [Ik heb uw transactiegeschiedenis op verschillende blockchains onderzocht, wat me naar uw ENS-adres retlqw.eth leidde. Uw OpenSea account is direct gekoppeld aan uw Twitter en u liked een Tweet over de Platypus exploit.”
Volgens de laatste tweet van Platypus is het protocol erin geslaagd om 2,4 miljoen USDC terug te krijgen dankzij de medewerking van blockchain auditing firma BlockSec, iets meer dan een kwart van het totaal.