Platypus, протокол обміну стейблкойнів DeFi на Avalanche, був використаний за 8.5 мільйонів доларів у четвер увечері.
Експлойт стався через атаку flashloan, яка скористалася недоліком у механізмі перевірки платоспроможності USP, що змусило розумні контракти Platypus подумати, що USP повністю забезпечено. USP — рідний стейблтокен Platypus.
Незабаром після експлойту члени крипто-спільноти зібралися разом, щоб повернути кошти.
ZachXBT — дослідник криптовалютного шахрайства — повідомив у Twitter, що він знайшов адресу гаманця зловмисника після перегляду їх власної історії ланцюжків у кількох ланцюгах.
«Ваш обліковий запис OpenSea пов’язаний безпосередньо з вашим Twitter, і вам сподобався твіт про експлойт Platypus», — написав у Twitter ZachXBT.
«Ми хотіли б домовитися про повернення коштів, перш ніж звертатися до правоохоронних органів», — написав він.
Platypus — тим часом і за допомогою BlockSec — оновив свій контракт на пул, щоб контрексплуатувати 2.4 мільйона доларів США USDC від хакера.
«Вони оновили його таким чином, що коли контракт на експлойт депонує USDC (яку обманюють як флеш-кредит) як заставу для карбування USP, вони можуть обдурити код, що він повинен повернути 0 USDC», — користувач Twitter. нервозний сказав
USDC з підробленого пулу було надіслано на жорстко закодовані адреси, щоб уникнути узагальнених лідерів, nervoir твітнув.
«Інші активи, ймовірно, буде важче відновити, але враховуючи те, що вони контролюють код пулу, вони мають значний контроль», — сказали вони.
Стайблкойн Platypus, USP, втратив прив’язку до долара, впавши до 0.48 долара. Потім він ненадовго відновився до $0.97, але з тих пір знову впав до $0.48, дані від шоу CoinGecko.
Джерело: https://blockworks.co/news/counterexploit-salvages-stolen-funds