Platypus, en DeFi stablecoin swapping-protokol på Avalanche, blev udnyttet for 8.5 millioner dollars torsdag aften.
Udnyttelsen skete via et flashloan-angreb, der udnyttede en fejl i dets USP-solvenskontrolmekanisme - som narrede Platypus' smarte kontrakter til at tro, at USP var fuldt støttet. USP er Platypus' oprindelige stabletoken.
Kort efter udnyttelsen kom medlemmer af kryptofællesskabet sammen for at få pengene tilbage.
ZachXBT - en kryptofidusforsker - sagde på Twitter, at han sporede angriberens tegnebogsadresse efter at have gennemgået deres egen kædehistorie på tværs af flere kæder.
"Din OpenSea-konto linker direkte til din Twitter, og du kunne lide et tweet om Platypus-udnyttelsen," tweetede ZachXBT.
"Vi vil gerne forhandle tilbagebetaling af midlerne, før vi engagerer os med retshåndhævelse," skrev han.
Platypus - i mellemtiden og med hjælp fra BlockSec - opdaterede sin puljekontrakt for at modudnytte $2.4 millioner i USDC fra hackeren.
"De opdaterede det sådan, at når udnyttelseskontrakten deponerede USDC (som det narres til at tro er et flashlån) som sikkerhed for prægningen af USP, kunne de narre koden, som den skyldte 0 USDC tilbage," Twitter-bruger nervoir sagde.
USDC fra den falske pulje blev sendt til hårdkodede adresser for at undgå generaliserede frontløbere, tweetede nervoir.
"De andre aktiver vil sandsynligvis være sværere at inddrive, men i betragtning af at de kontrollerer poolkoden, har de betydelig kontrol," sagde de.
Platypus's stablecoin, USP, mistede sin binding til dollaren og faldt til $0.48. Den kom sig derefter kortvarigt til $0.97, men er siden faldet tilbage til $0.48, data fra CoinGecko shows.
Kilde: https://blockworks.co/news/counterexploit-salvages-stolen-funds