Качканос будзе працаваць над планам кампенсацыі пасля нападу на 8.5 мільёна долараў

Фірма дэцэнтралізаванага фінансавання (DeFi) Platypus працуе над планам кампенсацыі страт карыстальнікаў пасля ўспышка крэдытнай атакі выцягнуў амаль 8.5 мільёна долараў з пратакола, што паўплывала на прывязку стейблкойна да даляра.

У твітары ад 18 лютага Platypus паведаміла, што працуе над планам кампенсацыі шкоды, і папрасіла карыстальнікаў не разумець сваіх страт у пратаколе, заявіўшы, што гэта ўскладніць для кампаніі вырашэнне праблемы. Ліквідацыя актываў таксама прыпыненая, гаворыцца ў пратаколе:

2/ Мы працуем над планам кампенсацыі страт, калі ласка, НЕ пагашайце USP і ўсведамляйце страты. Нам было б лягчэй кіраваць шкодай. Акрамя таго, вам не трэба турбавацца аб ліквідацыі, паколькі ліквідацыя прыпыненая, плата за стабільнасць пасля атакі не будзе залічвацца
— Качканос (++) (@Platypusdefi) Люты 18, 2023

Па дадзеных фірмы, у працэсе вяртання сродкаў зараз удзельнічаюць розныя бакі, у тым ліку супрацоўнікі праваахоўных органаў. Дадатковыя падрабязнасці аб наступных кроках будуць раскрыты ў бліжэйшы час, адзначыў Platypus.

Частка сродкаў заблакіравана ў пратаколе Aave. Platypus вывучае метад патэнцыйнага вяртання сродкаў, які запатрабуе адабрэння прапановы аб вяртанні на форуме кіравання Aave.

Фірма бяспекі Blockchain CertiK упершыню паведаміў пра атаку флэш-пазыкі на платформе праз твіт 16 лютага разам з кантрактным адрасам меркаванага зламысніка. Амаль 8.5 мільёна долараў было перанесена з пратакола, і ў выніку стейблкойн Platypus USD (USP) адмовіўся ад прывязкі да долара ЗША, знізіўшыся да 0.33 долара на момант напісання артыкула.

*Platypus USD Графік коштаў - 7 дзён. Крыніца: CoinGecko*

«Зламыснік выкарыстаў флэш-крэдыт, каб выкарыстаць лагічную памылку ў механізме праверкі плацежаздольнасці USP у кантракце, які змяшчае заклад», - заявілі ў кампаніі. Асоба патэнцыйнага падазраванага ўстаноўлена.

Тэхнічны пасмяротны аналіз, праведзены аўдытарскай кампаніяй Omniscia паказалі, што напад стаў магчымым з-за няправільнага размяшчэння кода пасля праверкі. Omniscia праверыла версію кантракта MasterPlatypusV1 з 21 лістапада па 5 снежня 2021 г. Аднак версія «не ўтрымлівала кропак інтэграцыі са знешняй сістэмай platypusTreasure» і, такім чынам, не ўтрымлівала няправільна ўпарадкаваных радкоў кода.

Атака флэш-пазыкі выкарыстоўвае бяспеку смарт-кантрактаў платформы для пазыкі вялікіх сум грошай без закладу. Пасля маніпулявання криптовалютным актывам на адной біржы ён хутка прадаецца на іншай, што дазваляе эксплуататару атрымліваць прыбытак ад маніпулявання цэнамі.