Platypus має швидко знайти 8.5 мільйонів доларів для своїх клієнтів

Platypus працює над планом компенсації збитків, понесених його користувачами після атаки на флеш-позику, яка призвела до втрати протоколу децентралізованих фінансів (DeFi) майже 8.5 мільйонів доларів США, що вплинуло на прив’язку стейблкойна до долара Platypus USD (USP). Під час атаки експлуататор скористався механізмом перевірки платоспроможності USP компанії.

У п’ятницю Twitter повідомлення, Platypus запевнив користувачів, що шукає план компенсації, попросивши їх уникати усвідомлення своїх втрат у протоколі, оскільки це ускладнить для компанії вирішення проблеми. Примітно, що фірма також тимчасово призупинила ліквідацію активів.

2/ Ми працюємо над планом компенсації збитків, будь ласка, НЕ погашайте свій USP і усвідомлюйте збитки. Нам було б легше впоратися зі збитками. Крім того, вам не потрібно турбуватися про ліквідацію, оскільки ліквідація призупинена, плата за стабільність після атаки не буде зарахована

— Platypus 🔺 (🦆+🦦+🦫) (@Platypusdefi) 18 Лютого, 2023

Після того, як атаку було здійснено, член команди Platypus прокоментував це питання в a після на сервері Platypus Discover, кажучи:

 Наразі всі операції призупинено, доки ми не отримаємо більше ясності.

Протокол DeFi вже звернувся до експлуататора для переговорів про баунті в обмін на повернення коштів.

Компанія безпеки блокчейнів CertiK першою повідомила про інцидент атаки флеш-позики, опублікувавши пост у Twitter 16 лютого. Фірма також оприлюднила адресу контракту ймовірного зловмисника, показавши суму, яку було переміщено з протоколу. 

#CertiKSkynetAlert ????

Ми бачимо а #флешкредит напад на @Platypusdefi що призведе до потенційних втрат у розмірі ~8.5 млн доларів США.

Tx AVAX: 0x1266a937c2ccd970e5d7929021eed3ec593a95c68a99b4920c2efa226679b430

Залишайся Фрості! pic.twitter.com/AM2HOM5M2r

— Сповіщення CertiK (@CertiKAlert) 16 Лютого, 2023

Фірма додала:

Зловмисник використовував флеш-кредит, щоб використати логічну помилку в механізмі перевірки платоспроможності USP у контракті, що містить заставу. Встановлено особу потенційного підозрюваного.

Відтоді курс Platypus USD (USP) від’єднався від долара, і на момент написання статті його вартість становить 0.33 долара. Це означає зниження вартості на 67% від його вартості в 1 долар. Оскільки вартість продовжує знижуватися, депозити користувачів менше покриваються. Проте кошти в інших пулах не залишаються без змін.

Platypus шукає допомоги в процесі повернення коштів

Platypus також підкреслив, що в процесі повернення коштів він залучив кілька сторін, у тому числі посадових осіб у правоохоронному секторі. Вони також пообіцяли розкрити більше деталей щодо наступних кроків. Інші в процесі відновлення включають Binance, прив'язь та Коло, яких попросили заморозити кошти хакера, щоб запобігти подальшим збиткам.

Першим був заморожений USDT, оскільки дискусії щодо компенсації та відшкодування постраждалим інвесторам тривали. Аналітик ZachXBT виділений що Tether, криптобіржа, внесла валюту в чорний список у блокчейні незабаром після того, як це сталося.

Hi @retlqw оскільки ви деактивували свій обліковий запис після мого повідомлення.

Я відстежив адреси вашого облікового запису від @Platypusdefi exploit, і я на зв’язку з їх командою та обмінами.

Ми хотіли б домовитися про повернення коштів, перш ніж звертатися до правоохоронних органів. pic.twitter.com/oJdAc9IIkD

— ZachXBT (@zachxbt) 17 Лютого, 2023

Аналітик також зміг знайти, хто вчинив злом, стверджуючи, що Platypus хотів домовитися, перш ніж звернутися до правоохоронних органів.

Я переглянув вашу історію транзакцій у кількох мережах, які привели мене до вашої адреси ENS retlqw.eth. Ваш обліковий запис OpenSea пов’язано безпосередньо з вашим Twitter, і вам сподобався твіт про експлойт Platypus.

Варто відзначити, що частина коштів заблокована в протоколі Aave, і поки Platypus шукає метод, який би дозволив відновити кошти, їм знадобиться схвалення пропозиції щодо відновлення на форумі управління Aave.

Іншою стороною, яка приєдналася до процесу повернення коштів, є аудиторська компанія Omniscia, яка прийшла провести технічний посмертний аналіз. Аудит виявив, що атака була здійснена шляхом неправильного розміщення коду. Omniscia проаналізувала версію контракту MasterPlatypusV1 між 21 листопада та 5 грудня 2021 року. Тим не менш, версія «не містила точок інтеграції із зовнішньою системою PlatypusTreasure». Відповідно, у ньому не було неправильно впорядкованих рядків коду.

 A Twitter Користувач Daniel Von Fange також пояснив, як відбулася атака, сказавши: «Після запиту великого «екстреного вилучення» код не мав правильних перевірок, щоб цього не сталося».

У хаку Platypus, зробленому двогодинною давниною, виглядає так, що зловмисник вніс 44 мільйони, позичив 42 мільйони, а потім скористався аварійним способомWithdraw(), який із задоволенням повернув зловмисникові всі початкові депозитні кошти – жодних відрахувань за позику. pic.twitter.com/QncRrRYg8j

— Даніель фон Фанге (@danielvf) 16 Лютого, 2023

Атаки на флеш-позики – це поширена техніка фішингу, яку використовують зловмисники, використовуючи безпеку смарт-контрактів компанії. Після цього зловмисник позичає великі суми грошей без будь-якої застави чи забезпечення. Після маніпулювання криптоактивом на одній біржі вони потім продовжують продавати його на іншій, отримуючи прибуток від маніпулювання цінами.

USP працював лише 10 днів

Примітно, що стейблкойн USP Platypus був нещодавно запущеним проектом, який діяв лише десять днів. Стайблкойн дебютував 6 лютого 2023 року, а експлуататор атакував 16 лютого, забравши майже 8.5 мільйонів доларів.

USP був розроблений як стейблкойн і був «прив’язаний» безпосередньо до долара США. Це означає, що один долар США був еквівалентним одному долару Platypus.

Детальніше:

Fight Out (FGHT) – найновіший проект заробітку

• Перевірено CertiK і підтверджено KYC CoinSniper
• Передпродаж на ранній стадії в прямому ефірі
• Заробляйте безкоштовну криптовалюту та досягайте фітнес-цілей
• Проект LBank Labs
• Партнерство з Transak, Block Media
• Винагороди та бонуси для ставок