Platypus, en DeFi stablecoin-bytteprotokoll på Avalanche, ble utnyttet for 8.5 millioner dollar torsdag kveld.
Utnyttelsen skjedde via et flashloan-angrep som utnyttet en feil i USP-solvenskontrollmekanismen - som lurte Platypus sine smarte kontrakter til å tro at USP var fullt støttet. USP er Platypus sitt opprinnelige stalltoken.
Rett etter utnyttelsen kom medlemmer av kryptosamfunnet sammen for å få tilbake pengene.
ZachXBT – en kryptosvindelforsker – sa på Twitter at han sporet opp angriperens lommebokadresse etter å ha gjennomgått deres egen kjedehistorie på tvers av flere kjeder.
"OpenSea-kontoen din kobler direkte til Twitteren din, og du likte en Tweet om Platypus-utnyttelsen," twitret ZachXBT.
"Vi ønsker å forhandle om tilbakeføring av midlene før vi engasjerer oss med rettshåndhevelse," skrev han.
Platypus – i mellomtiden og med hjelp av BlockSec – oppdaterte sin pool-kontrakt for å motutnytte 2.4 millioner dollar i USDC fra hackeren.
"De oppdaterte det slik at når utnyttelseskontrakten deponerte USDC (som det er lurt til å tro er et flashlån) som sikkerhet for pregingen av USP, kunne de lure koden som den skyldte 0 USDC tilbake," Twitter-bruker nervoir sa.
USDC fra det falske bassenget ble sendt til hardkodede adresser for å unngå generaliserte frontløpere, twitret nervoir.
"De andre eiendelene vil sannsynligvis være vanskeligere å gjenvinne, men gitt at de kontrollerer poolkoden har de betydelig kontroll," sa de.
Platypus sin stablecoin, USP, mistet bindingen til dollaren, og falt til $0.48. Den kom seg deretter en kort stund til $0.97, men har siden sunket tilbake til $0.48, dato fra CoinGecko viser.
Kilde: https://blockworks.co/news/counterexploit-salvages-stolen-funds