Фірма дэцэнтралізаванага фінансавання (DeFi) Platypus працуе над планам кампенсацыі страт карыстальнікаў пасля ўспышка крэдытнай атакі выцягнуў амаль 8.5 мільёна долараў з пратакола, што паўплывала на прывязку стейблкойна да даляра.
У твітары ад 18 лютага Platypus паведаміла, што працуе над планам кампенсацыі шкоды, і папрасіла карыстальнікаў не разумець сваіх страт у пратаколе, заявіўшы, што гэта ўскладніць для кампаніі вырашэнне праблемы. Ліквідацыя актываў таксама прыпыненая, гаворыцца ў пратаколе:
2/ Мы працуем над планам кампенсацыі страт, калі ласка, НЕ пагашайце USP і ўсведамляйце страты. Нам было б лягчэй кіраваць шкодай. Акрамя таго, вам не трэба турбавацца аб ліквідацыі, паколькі ліквідацыя прыпыненая, плата за стабільнасць пасля атакі не будзе залічвацца
— Качканос (++) (@Platypusdefi) Люты 18, 2023
Па дадзеных фірмы, у працэсе вяртання сродкаў зараз удзельнічаюць розныя бакі, у тым ліку супрацоўнікі праваахоўных органаў. Дадатковыя падрабязнасці аб наступных кроках будуць раскрыты ў бліжэйшы час, адзначыў Platypus.
Частка сродкаў заблакіравана ў пратаколе Aave. Platypus вывучае метад патэнцыйнага вяртання сродкаў, які запатрабуе адабрэння прапановы аб вяртанні на форуме кіравання Aave.
Фірма бяспекі Blockchain CertiK упершыню паведаміў пра атаку флэш-пазыкі на платформе праз твіт 16 лютага разам з кантрактным адрасам меркаванага зламысніка. Амаль 8.5 мільёна долараў было перанесена з пратакола, і ў выніку стейблкойн Platypus USD (USP) адмовіўся ад прывязкі да долара ЗША, знізіўшыся да 0.33 долара на момант напісання артыкула.
«Зламыснік выкарыстаў флэш-крэдыт, каб выкарыстаць лагічную памылку ў механізме праверкі плацежаздольнасці USP у кантракце, які змяшчае заклад», - заявілі ў кампаніі. Асоба патэнцыйнага падазраванага ўстаноўлена.
Тэхнічны пасмяротны аналіз, праведзены аўдытарскай кампаніяй Omniscia паказалі, што напад стаў магчымым з-за няправільнага размяшчэння кода пасля праверкі. Omniscia праверыла версію кантракта MasterPlatypusV1 з 21 лістапада па 5 снежня 2021 г. Аднак версія «не ўтрымлівала кропак інтэграцыі са знешняй сістэмай platypusTreasure» і, такім чынам, не ўтрымлівала няправільна ўпарадкаваных радкоў кода.
Атака флэш-пазыкі выкарыстоўвае бяспеку смарт-кантрактаў платформы для пазыкі вялікіх сум грошай без закладу. Пасля маніпулявання криптовалютным актывам на адной біржы ён хутка прадаецца на іншай, што дазваляе эксплуататару атрымліваць прыбытак ад маніпулявання цэнамі.
Крыніца: https://cointelegraph.com/news/platypus-to-work-on-compensation-plan-after-8-5m-attack