Næbdyr skal finde $8.5 millioner til sine kunder, og det hurtigt

Platypus arbejder på en plan for at kompensere de tab, dets brugere har pådraget sig efter et flash-lånsangreb, hvor den decentraliserede finansprotokol (DeFi) mistede næsten 8.5 millioner dollars, hvilket påvirkede dens stablecoin-dollarbinding, Platypus USD (USP). Udbytteren udnyttede virksomhedens USP solvenskontrolmekanisme i angrebet.

Om en fredag Twitter indlæg, Platypus forsikrede brugerne om, at det søgte at identificere en kompensationsplan, og bad dem om at undgå at realisere deres tab i protokollen, da det ville gøre det sværere for virksomheden at håndtere problemet. Navnlig har firmaet også suspenderet aktivlikvidationer for øjeblikket.

2/ Vi arbejder på en plan for at kompensere tabene, venligst IKKE tilbagebetale din USP og realisere tabene. Det ville være nemmere for os at håndtere skaden. Du behøver heller ikke bekymre dig om likvidation, da likvidation er sat på pause, stabilitetsgebyr efter angrebet tælles ikke med

— Næbdyr 🔺 (🦆+🦦+🦫) (@Platypusdefi) Februar 18, 2023

Efter angrebet blev udført, kommenterede et Platypus-teammedlem om sagen i en indlæg på Platypus's Discover-server og siger:

 Indtil videre er alle operationer sat på pause, indtil vi får mere klarhed.

DeFi-protokollen har allerede henvendt sig til udnytteren for forhandlinger om en dusør til gengæld for tilbagelevering af midlerne.

Blockchain-sikkerhedsfirmaet CertiK var det første til at rapportere flashlånsangrebet, og sendte et opslag på Twitter den 16. februar. Firmaet afslørede også kontraktadressen på den påståede angriber, der viser det beløb, der var blevet flyttet fra protokollen. 

#CertiKSkynetAlert ????

Vi ser en #flashloan angribe på @Platypusdefi hvilket resulterer i et potentielt tab på ~$8.5 mio.

Tx AVAX: 0x1266a937c2ccd970e5d7929021eed3ec593a95c68a99b4920c2efa226679b430

Forbliv Frosty! pic.twitter.com/AM2HOM5M2r

— CertiKAlert (@CertiKAlert) Februar 16, 2023

Firmaet tilføjede:

Angriberen brugte et flashlån til at udnytte en logisk fejl i USP's solvenskontrolmekanisme i kontrakten med sikkerheden. En potentiel mistænkt er blevet identificeret.

Siden da er Platypus USD (USP) afkoblet fra dollaren, og dens værdi er på $0.33 i skrivende stund. Dette repræsenterer et værdifald på 67 % fra værdien på 1 USD. Da værdien fortsætter med at falde, er brugerindskud mindre dækket. Midler i andre puljer er dog ikke upåvirkede.

Næbdyr søger hjælp i processen for inddrivelse af midler

Platypus fremhævede også, at det havde brugt input fra flere parter i fondenes inddrivelsesproces, herunder embedsmænd i retshåndhævelsessektoren. De forpligtede sig også til at afsløre flere detaljer om de næste trin. Andre i genopretningsprocessen omfatter Binance, Tetherog Circle, der blev bedt om at indefryse hackerens midler i en foranstaltning for at forhindre flere tab.

Den første, der blev fastfrosset, var USDT, da diskussionerne om kompensation og godtgørelse af berørte investorer fortsatte. Analytiker ZachXBT fremhævet at Tether, en kryptobørs, sortlistede valutaen på blockchain kort efter det skete.

Hi @retlqw siden du deaktiverede din konto, efter jeg sendte dig en besked.

Jeg har sporet adresser tilbage til din konto fra @Platypusdefi udnytte, og jeg er i kontakt med deres team og udvekslinger.

Vi vil gerne forhandle tilbagebetaling af midlerne, før vi går i kontakt med retshåndhævelsen. pic.twitter.com/oJdAc9IIkD

— ZachXBT (@zachxbt) Februar 17, 2023

Analytikeren var også i stand til at finde ud af, hvem der begik hacket, hævder at Platypus ønskede at forhandle, før han kontaktede retshåndhævelsen.

Jeg har gennemgået din transaktionshistorik på tværs af flere kæder, hvilket fører mig til din ENS-adresse retlqw.eth. Din OpenSea-konto linker direkte til din Twitter, og du kunne lide et tweet om Platypus-udnyttelsen.

Bemærkelsesværdigt er, at en del af midlerne er låst inde i Aave-protokollen, og mens Platypus leder efter en metode, der ville muliggøre fondenes inddrivelse, ville de have brug for godkendelse af et genopretningsforslag i Aaves governance-forum.

En anden part, der har tilsluttet sig fondenes genopretningsproces, er revisionsfirmaet Omniscia, der kommer ind for at udføre en teknisk obduktionsanalyse. Revisionen afslørede, at angrebet blev udført ved at placere en kode forkert. Omniscia analyserede en version af MasterPlatypusV1-kontrakten mellem 21. november og 5. december 2021. Ikke desto mindre "indeholdt versionen ingen integrationspunkter med et eksternt PlatypusTreasure-system." Følgelig indeholdt den ikke fejlordnede kodelinjer.

 A Twitter bruger Daniel Von Fange forklarede også, hvordan angrebet fandt sted, og sagde: "Efter at have anmodet om en stor "nødtilbagetrækning" havde koden ikke de korrekte kontroller på plads for at forhindre, at dette sker.

I det to timer gamle Platypus-hack ser det ud til, at angriberen indsatte 44 millioner, lånte 42 millioner og derefter brugte emergencyWithdraw(), som heldigvis gav angriberen de fulde oprindeligt indsatte midler tilbage – ingen fradrag for lånet. pic.twitter.com/QncRrRYg8j

— Daniel Von Fange (@danielvf) Februar 16, 2023

Flash-lånsangreb er en almindelig phishing-teknik, der anvendes af trusselsaktører, der udnytter virksomhedens smarte kontraktsikkerhed. Når dette er gjort, fortsætter angriberen med at låne store summer uden nogen form for sikkerhed eller sikkerhed. Efter at have manipuleret et kryptoaktiv på én børs, fortsætter de med at sælge det på en anden og drager dermed fordel af prismanipulationen.

USP havde kun været live i 10 dage

Navnlig Platypus' stablecoin USP var et nyligt lanceret projekt, der kun havde været live i ti dage. Stablecoinen debuterede den 6. februar 2023, og udnytteren angreb den 16. februar og tjente med næsten 8.5 millioner dollars.

USP var designet til at være en stabil mønt og var 'koblet' direkte til den amerikanske dollar. Det betyder, at én USD svarede til én Platypus USD.

Læs mere:

Fight Out (FGHT) – Nyeste Move to Earn-projekt

• CertiK revideret & CoinSniper KYC verificeret
• Presale på det tidlige stadium live nu
• Tjen gratis krypto og opfyld fitnessmål
• LBank Labs-projekt
• Samarbejdet med Transak, Block Media
• Indsats belønninger og bonusser