Platypus стал последним децентрализованным финансовым протоколом (DeFi), подвергшимся атаке. Действительно, он стал жертвой взлома на сумму $8,5 млн после манипуляций с помощью метода флэш-кредитования. К счастью, значительная часть средств уже восстановлена благодаря совместным усилиям различных участников.
У Platypus украли $8,5 млн
Децентрализованный финансовый протокол (DeFi) Platypus, размещенный на Avalanche (AVAX), 16 февраля подвергся взлому на сумму $8,5 млн. Впервые об этом сообщила фирма CertiK, занимающаяся безопасностью блокчейна, а сегодня Platypus подтвердила эту информацию в Твиттере.
Уважаемое сообщество,
С сожалением сообщаем вам, что недавно наш протокол был взломан, злоумышленник воспользовался недостатком в нашем механизме проверки платежеспособности USP. Они использовали флеш-кредит, чтобы использовать логическую ошибку в механизме проверки платежеспособности USP в контракте, содержащем залог.— Platypus (++) (@Platypusdefi) February 17, 2023
По словам Platypus, взлом затронул только основной пул наличности, содержащий USP (стабильный монета протокола), а другие пулы будут в безопасности. Однако на данный момент средства клиентов в пострадавшем пуле, предположительно, покрыты только на 35%.
В результате USP на некоторое время утратил привязку к доллару США, потеряв тем самым 50% своей эталонной цены.
Для достижения своей цели злоумышленник использовал метод флэш-кредитования — форму мгновенного займа для поиска арбитражных возможностей, к сожалению, часто используемую для атак на протоколы. Именно этот процесс был использован при атаке на протокол Nereus Finance в сентябре прошлого года.
В этом случае средства хакера были отслежены, и некоторые из них уже были внесены в черный список Tether. Platypus объявил, что он также связался с Circle и Binance, чтобы попытаться заморозить некоторые из оставшихся средств.
Личность хакера раскрыта
Инвестор ZachXBT, известный своими внутрицепочечными расследованиями, раскрыл предполагаемую личность хакера после изучения различных улик, указывающих на одного и того же человека. Человек, указанный в твите, с тех пор удалил свой аккаунт в Twitter, а также аккаунт в Instagram.
Кроме того, начались переговоры между Platypus и хакером, чтобы последний смог вернуть средства и оставить часть из них себе. По словам ZachXBT, отказ хакера может привести к судебному расследованию против него.
Привет @retlqw поскольку вы деактивировали свой аккаунт после того, как я написал вам сообщение.
Я отследил адреса до вашего аккаунта от эксплойта @Platypusdefi и нахожусь в контакте с их командой и обменом.
Мы хотели бы договориться о возврате средств, прежде чем обращаться в правоохранительные органы. pic.twitter.com/oJdAc9IIkD
— ZachXBT (@zachxbt) February 17, 2023
Я отследил адреса ваших аккаунтов из эксплойта Platypus и нахожусь в контакте с их командой и некоторыми биржами. […] Я изучил историю ваших транзакций на нескольких блокчейнах, что привело меня к вашему ENS-адресу retlqw.eth. Ваш аккаунт OpenSea напрямую связан с вашим Twitter, и вам понравился твит об эксплойте Platypus. «
Согласно последнему твиту от Platypus, протоколу удалось вернуть 2,4 миллиона USDC благодаря сотрудничеству с блокчейн-аудиторской фирмой BlockSec, чуть более четверти от общей суммы.