Platypus павінен хутка знайсці 8.5 мільёна долараў для сваіх кліентаў

Platypus працуе над планам кампенсацыі страт, панесеных яго карыстальнікам пасля атакі на флэш-пазыку, у выніку якой пратакол дэцэнтралізаванага фінансавання (DeFi) страціў амаль 8.5 мільёна долараў, што паўплывала на прывязку стейблкойна да даляра Platypus USD (USP). У атацы эксплуататар скарыстаўся механізмам праверкі плацежаздольнасці USP кампаніі.

У пятніцу Twitter пост, Platypus запэўніў карыстальнікаў, што імкнецца вызначыць план кампенсацыі, папрасіўшы іх пазбягаць усведамлення сваіх страт у пратаколе, паколькі ў гэтым выпадку кампаніі будзе цяжэй вырашаць праблему. Характэрна, што фірма таксама на час прыпыніла ліквідацыю актываў.

2/ Мы працуем над планам кампенсацыі страт, калі ласка, НЕ пагашайце USP і ўсведамляйце страты. Нам было б лягчэй кіраваць шкодай. Акрамя таго, вам не трэба турбавацца аб ліквідацыі, паколькі ліквідацыя прыпыненая, плата за стабільнасць пасля атакі не будзе залічвацца

— Качканос 🔺 (🦆+🦦+🦫) (@Platypusdefi) Люты 18, 2023

Пасля таго, як атака была выканана, член каманды Platypus пракаментаваў гэтае пытанне ў a пошта на серверы Platypus Discover, кажучы:

 На дадзены момант усе аперацыі прыпынены, пакуль мы не атрымаем большай яснасці.

Пратакол DeFi ужо звярнуўся да эксплуататара для перамоваў аб узнагародзе ў абмен на вяртанне сродкаў.

Блокчейн-ахоўная кампанія CertiK першай паведаміла аб інцыдэнце з атакай на флэш-крэдыт, адправіўшы паведамленне ў Twitter 16 лютага. Фірма таксама раскрыла кантрактны адрас меркаванага зламысніка, паказваючы суму, якая была перамешчана з пратакола. 

#CertiKSkynetAlert ????

Мы бачым а #флэшкрэдыт напад на @Platypusdefi што прывядзе да патэнцыйнай страты ў памеры ~$8.5 млн.

Tx AVAX: 0x1266a937c2ccd970e5d7929021eed3ec593a95c68a99b4920c2efa226679b430

Заставайся Фросты! pic.twitter.com/AM2HOM5M2r

— Абвестка CertiK (@CertiKAlert) Люты 16, 2023

Фірма дадала:

Зламыснік выкарыстаў флэш-пазыку, каб выкарыстаць лагічную памылку ў механізме праверкі плацежаздольнасці USP у кантракце, які змяшчае заклад. Асоба патэнцыйнага падазраванага ўстаноўлена.

З тых часоў Platypus USD (USP) адвязаўся ад даляра, і на момант напісання артыкула яго кошт складае $0.33. Гэта азначае падзенне кошту на 67% ад кошту ў 1 долар. Паколькі кошт працягвае змяншацца, дэпазіты карыстальнікаў пакрываюцца менш. Аднак сродкі ў іншых пулах не закрануты.

Platypus шукае дапамогі ў працэсе вяртання сродкаў

Platypus таксама падкрэсліў, што ў працэсе вяртання сродкаў удзельнічалі некалькі бакоў, у тым ліку чыноўнікі праваахоўнага сектара. Яны таксама абавязаліся раскрыць больш падрабязную інфармацыю аб наступных кроках. Іншыя ў працэсе аднаўлення ўключаюць Binance, прывязь, і Круг, якіх папрасілі замарозіць сродкі хакера, каб прадухіліць новыя страты.

Першым быў замарожаны USDT, паколькі дыскусіі аб кампенсацыі і кампенсацыі выдаткаў пацярпелым інвестарам працягваліся. Аналітык ZachXBT выдзелены што Tether, крыптабіржа, унесла валюту ў чорны спіс у блокчейне неўзабаве пасля таго, як гэта адбылося.

Hi @retlqw так як вы дэактывавалі свой уліковы запіс пасля таго, як я адправіў вам паведамленне.

Я адшукаў адрасы вашага акаўнта ад @Platypusdefi exploit, і я падтрымліваю сувязь з іх камандай і абменам.

Мы хацелі б дамовіцца аб вяртанні сродкаў, перш чым звяртацца да праваахоўных органаў. pic.twitter.com/oJdAc9IIkD

— ZachXBT (@zachxbt) Люты 17, 2023

Аналітык таксама змог знайсці, хто здзейсніў хак, сцвярджаючы, што Platypus хацеў дамовіцца, перш чым звяртацца ў праваахоўныя органы.

Я прагледзеў вашу гісторыю транзакцый у некалькіх сетках, што прывяло мяне да вашага адрасу ENS retlqw.eth. Ваш уліковы запіс OpenSea спасылаецца непасрэдна на ваш Twitter, і вам спадабаўся твіт пра эксплойт Platypus.

Варта адзначыць, што частка сродкаў заблакіравана ў пратаколе Aave, і пакуль Platypus шукае метад, які дазволіў бы вярнуць сродкі, ім спатрэбіцца зацвярджэнне прапановы аб аднаўленні на форуме кіравання Aave.

Яшчэ адзін бок, які далучыўся да працэсу вяртання сродкаў, - гэта аўдытарская фірма Omniscia, якая прыйшла правесці тэхнічны пасмяротны аналіз. Праверка выявіла, што атака была здзейсненая шляхам няправільнага размяшчэння кода. Omniscia прааналізавала версію кантракта MasterPlatypusV1 у перыяд з 21 лістапада па 5 снежня 2021 г. Тым не менш, версія «не ўтрымлівала кропак інтэграцыі са знешняй сістэмай PlatypusTreasure». Адпаведна, у ім не было няправільна ўпарадкаваных радкоў кода.

 A Twitter Карыстальнік Дэніэл фон Фанге таксама патлумачыў, як адбылася атака, сказаўшы: «Пасля запыту вялікага «экстранага зняцця» код не меў правільных праверак, каб гэтага не адбылося».

Ва ўзломе Platypus двухгадзіннай даўніны здаецца, што зламыснік унёс на дэпазіт 44 мільёны, пазычыў 42 мільёны, а потым выкарыстаў функцыю надзвычайнага зняцця (), якая шчасліва вярнула зламысніку ўсе першапачаткова ўнесеныя сродкі - без адлічэнняў за пазыку. pic.twitter.com/QncRrRYg8j

— Даніэль фон Фанге (@danielvf) Люты 16, 2023

Атакі на флэш-пазыку - звычайная тэхніка фішынгу, якая выкарыстоўваецца суб'ектамі пагрозы, выкарыстоўваючы бяспеку смарт-кантрактаў кампаніі. Як толькі гэта будзе зроблена, зламыснік пазычае вялікія сумы грошай без закладу або закладу. Пасля маніпулявання крыпта-актывам на адной біржы яны прадаюць яго на іншай, атрымліваючы прыбытак ад маніпулявання коштамі.

USP працаваў толькі 10 дзён

Характэрна, што стейблкойн USP Platypus быў нядаўна запушчаным праектам, існаваў усяго дзесяць дзён. Стайблкойн дэбютаваў 6 лютага 2023 года, а эксплуататар атакаваў яго 16 лютага, забраўшы амаль 8.5 мільёна долараў.

USP быў распрацаваны як стейблкойн і быў «прывязаны» непасрэдна да даляра ЗША. Гэта азначае, што адзін даляр ЗША быў эквівалентны аднаму даляру Платыпуса.

Падрабязней:

Fight Out (FGHT) – найноўшы праект Move to Earn

• Аўдыт CertiK і праверка KYC CoinSniper
• Перадпродаж на ранняй стадыі ў прамым эфіры
• Зарабляйце бясплатную крыптаграфію і дасягайце фітнес-мэтаў
• Праект LBank Labs
• У партнёрстве з Transak, Block Media
• Стаўкі ўзнагароды і бонусы