Platypus, пратакол абмену стейблкойнамі DeFi на Avalanche, быў выкарыстаны на 8.5 мільёна долараў у чацвер вечарам.
Эксплойт адбыўся ў выніку атакі флэш-пазыкі, якая выкарыстала недахоп у механізме праверкі плацежаздольнасці USP — што прымусіла смарт-кантракты Platypus падумаць, што USP цалкам забяспечаны. USP - гэта родны стейблтокен Platypus.
Неўзабаве пасля эксплойта члены крыптасупольнасці сабраліся, каб вярнуць сродкі.
ZachXBT — даследчык крыпта-махлярстваў — паведаміў у Twitter, што адшукаў адрас кашалька зламысніка пасля прагляду іх уласнай гісторыі ланцужкоў у некалькіх ланцужках.
«Ваш уліковы запіс OpenSea спасылаецца непасрэдна на ваш Twitter, і вам спадабаўся твіт пра эксплойт Platypus», — напісаў у твітэры ZachXBT.
«Мы хацелі б дамовіцца аб вяртанні сродкаў, перш чым звяртацца ў праваахоўныя органы», — напісаў ён.
Platypus — тым часам і з дапамогай BlockSec — абнавіў кантракт на пул, каб контрэксплуатаваць $2.4 мільёна ў USDC ад хакера.
«Яны абнавілі яго такім чынам, што, калі кантракт на эксплойт перадаў USDC (які падманулі, што гэта флэш-пазыка) у якасці закладу для чаканкі USP, яны маглі падмануць код, які павінен вярнуць 0 USDC», - карыстальнік Twitter. нервовасць сказаў.
USDC з фальшывага пула быў адпраўлены на жорстка закадзіраваныя адрасы, каб пазбегнуць абагульненых лідэраў, напісаў nervoir у твітэры.
«Іншыя актывы, верагодна, будзе цяжэй аднавіць, але, улічваючы, што яны кантралююць код пула, яны маюць значны кантроль», - сказалі яны.
Стайблкойн Platypus, USP, страціў прывязку да даляра, апусціўшыся да 0.48 даляра. Затым ён ненадоўга аднавіўся да 0.97 даляра, але з тых часоў зноў апусціўся да 0.48 даляра, gegevens з шоў CoinGecko.
Крыніца: https://blockworks.co/news/counterexploit-salvages-stolen-funds