Το Platypus, ένα πρωτόκολλο ανταλλαγής σταθερών νομισμάτων DeFi στο Avalanche, αξιοποιήθηκε για 8.5 εκατομμύρια δολάρια το απόγευμα της Πέμπτης.
Η εκμετάλλευση προέκυψε μέσω μιας επίθεσης δανείου flash που εκμεταλλεύτηκε ένα ελάττωμα στον μηχανισμό ελέγχου φερεγγυότητας του USP — ο οποίος ξεγέλασε τα έξυπνα συμβόλαια της Platypus να πιστέψουν ότι το USP υποστηρίζεται πλήρως. Το USP είναι το εγγενές stabletoken του Platypus.
Λίγο μετά την εκμετάλλευση, μέλη της κοινότητας κρυπτογράφησης συγκεντρώθηκαν για να ανακτήσουν τα κεφάλαια.
Ο ZachXBT - ένας ερευνητής απάτης κρυπτογράφησης - είπε στο Twitter ότι εντόπισε τη διεύθυνση πορτοφολιού του εισβολέα αφού εξέτασε το δικό του ιστορικό αλυσίδας σε πολλές αλυσίδες.
«Ο λογαριασμός σας στο OpenSea συνδέεται απευθείας με το Twitter σας και σας άρεσε ένα Tweet σχετικά με την εκμετάλλευση του Platypus», έγραψε στο Twitter ο ZachXBT.
«Θα θέλαμε να διαπραγματευτούμε την επιστροφή των κεφαλαίων πριν ασχοληθούμε με την επιβολή του νόμου», έγραψε.
Η Platypus — εν τω μεταξύ και με τη βοήθεια της BlockSec — ενημέρωσε το συμβόλαιό της για την αντιεκμετάλλευση 2.4 εκατομμυρίων δολαρίων USDC από τον χάκερ.
"Το ενημέρωσαν έτσι ώστε όταν το συμβόλαιο εκμετάλλευσης κατέθεσε το USDC (το οποίο εξαπατάται να πιστεύει ότι είναι ένα στιγμιαίο δάνειο) ως εγγύηση για την κοπή του USP, θα μπορούσαν να ξεγελάσουν τον κωδικό ότι του χρωστούσε 0 USDC πίσω", χρήστης του Twitter. νευρικός είπε.
Το USDC από το ψεύτικο pool στάλθηκε σε διευθύνσεις με σκληρό κώδικα για να αποφευχθούν γενικευμένοι πρώτοι δρομείς, ανέφερε το nervoir.
«Τα άλλα περιουσιακά στοιχεία θα είναι πιθανότατα πιο δύσκολο να ανακτηθούν, αλλά δεδομένου ότι ελέγχουν τον κωδικό της ομάδας έχουν σημαντικό έλεγχο», είπαν.
Το stablecoin της Platypus, USP, έχασε την πρόσδεσή του στο δολάριο, υποχωρώντας στα 0.48 δολάρια. Στη συνέχεια ανέκαμψε για λίγο στα 0.97 $, αλλά έκτοτε υποχώρησε στα 0.48 $, ημερομηνία από τις εκπομπές CoinGecko.
Πηγή: https://blockworks.co/news/counterexploit-salvages-stolen-funds