Platypus trenger å finne $8.5 millioner for kundene sine, og det raskt

Platypus jobber med en plan for å kompensere tapene brukerne pådro seg etter et flash-lånsangrep som førte til at protokollen for desentralisert finans (DeFi) tapte nesten 8.5 millioner dollar, noe som påvirket Stablecoin-dollarknyttingen Platypus USD (USP). Utnytteren benyttet seg av selskapets USP solvenskontrollmekanisme i angrepet.

Om en fredag Twitter post, forsikret Platypus brukere om at det var ute etter å identifisere en kompensasjonsplan, og ba dem unngå å realisere tapene sine i protokollen, da dette ville gjøre det vanskeligere for selskapet å håndtere problemet. Spesielt har firmaet også suspendert aktivalikvidasjoner for tiden.

2/ Vi jobber med en plan for å kompensere tapene, vennligst IKKE tilbakebetal din USP og realiser tapene. Det ville vært lettere for oss å håndtere skadene. Du trenger heller ikke å bekymre deg for likvidering siden likvidasjonen er satt på pause, stabilitetsgebyr etter angrepet vil ikke telles

— Platypus 🔺 (🦆+🦦+🦫) (@Platypusdefi) Februar 18, 2023

Etter at angrepet ble utført, kommenterte et Platypus-teammedlem saken i en poste på Platypus sin Discover-server og sier:

 Foreløpig er alle operasjoner satt på pause til vi får mer klarhet.

DeFi-protokollen har allerede henvendt seg til utnytteren for forhandlinger om en dusør i bytte mot tilbakeføring av midlene.

Blockchain-sikkerhetsselskapet CertiK var det første som rapporterte angrepet med flashlån, og sendte et innlegg på Twitter 16. februar. Firmaet avslørte også kontraktsadressen til den angivelige angriperen, som viser beløpet som var flyttet fra protokollen. 

#CertiKSkynetAlert 🚨

Vi ser en #flashloan angrep på @Platypusdefi som resulterer i et potensielt tap på ~$8.5 millioner.

Tx AVAX: 0x1266a937c2ccd970e5d7929021eed3ec593a95c68a99b4920c2efa226679b430

Hold deg frostig! pic.twitter.com/AM2HOM5M2r

— CertiKAlert (@CertiKAlert) Februar 16, 2023

Firmaet la til:

Angriperen brukte et flash-lån for å utnytte en logisk feil i USP-solvenskontrollmekanismen i kontrakten som inneholdt sikkerheten. En potensiell mistenkt er identifisert.

Siden den gang har Platypus USD (USP) koblet seg fra dollaren og verdien er på $0.33 i skrivende stund. Dette representerer et verdifall på 67 % fra verdien på $1. Ettersom verdien fortsetter å synke, er brukerinnskudd mindre dekket. Midlene i andre puljer er imidlertid ikke upåvirket.

Platypus søker hjelp i gjenopprettingsprosessen for midler

Platypus fremhevet også at det hadde brukt innspill fra flere parter i fondenes gjenopprettingsprosess, inkludert tjenestemenn i rettshåndhevelsessektoren. De forpliktet seg også til å avsløre flere detaljer om de neste trinnene. Andre i gjenopprettingsprosessen inkluderer Binance, Tetherog Circle, som ble bedt om å fryse hackerens midler i et tiltak for å forhindre flere tap.

Den første som ble frosset var USDT da diskusjonene om å kompensere og tilbakebetale berørte investorer fortsatte. Analytiker ZachXBT fremhevet at Tether, en kryptobørs, svartelistet valutaen på blokkjeden kort tid etter at det skjedde.

Hi @retlqw siden du deaktiverte kontoen din etter at jeg sendte deg en melding.

Jeg har sporet adresser tilbake til kontoen din fra @Platypusdefi utnytte og jeg er i kontakt med teamet og utvekslingene deres.

Vi ønsker å forhandle om tilbakeføring av midlene før vi går i kontakt med rettshåndhevelse. pic.twitter.com/oJdAc9IIkD

— ZachXBT (@zachxbt) Februar 17, 2023

Analytikeren var også i stand til å finne hvem som begikk hacket, hevder at Platypus ønsket å forhandle før han kontakter politiet.

Jeg har gjennomgått transaksjonshistorikken din på tvers av flere kjeder, som fører meg til ENS-adressen din retlqw.eth. OpenSea-kontoen din kobles direkte til Twitter, og du likte en Tweet om Platypus-utnyttelsen.

Det er verdt å merke seg at en del av midlene er låst opp i Aave-protokollen, og mens Platypus leter etter en metode som vil muliggjøre fondenes utvinning, vil de trenge godkjenning av et gjenopprettingsforslag i Aaves styringsforum.

En annen part som har sluttet seg til fondenes gjenopprettingsprosess er revisjonsfirmaet Omniscia, som kommer inn for å gjennomføre en teknisk obduksjonsanalyse. Tilsynet avdekket at angrepet ble utført ved feil plassering av en kode. Omniscia analyserte en versjon av MasterPlatypusV1-kontrakten mellom 21. november og 5. desember 2021. Ikke desto mindre inneholdt versjonen «ingen integrasjonspunkter med et eksternt PlatypusTreasure-system». Følgelig inneholdt den ingen feilordnede kodelinjer.

 A Twitter bruker Daniel Von Fange forklarte også hvordan angrepet fant sted, og sa: "Etter å ha bedt om en stor "nødtilbaketrekking", hadde ikke koden de riktige kontrollene på plass for å forhindre at dette skjer.

I det to timer gamle Platypus-hakket ser det ut til at angriperen satte inn 44 millioner, lånte 42 millioner, og deretter brukte emergencyWithdraw(), som gladelig ga angriperen tilbake hele det opprinnelige innskuddet – ingen fradrag for lånet. pic.twitter.com/QncRrRYg8j

— Daniel Von Fange (@danielvf) Februar 16, 2023

Flash-lånsangrep er en vanlig phishing-teknikk som brukes av trusselaktører, og utnytter selskapets smarte kontraktsikkerhet. Når dette er gjort, fortsetter angriperen med å låne store summer uten sikkerhet eller sikkerhet. Etter å ha manipulert en kryptoaktiva på en børs, fortsetter de å selge den på en annen, og tjener dermed på prismanipulasjonen.

USP hadde bare vært live i 10 dager

Spesielt var Platypus' stablecoin USP et nylig lansert prosjekt, etter å ha vært live i bare ti dager. Stablecoinen debuterte 6. februar 2023, og utnytteren angrep 16. februar og gjorde unna med nesten 8.5 millioner dollar.

USP hadde blitt designet for å være en stabil mynt og var 'festet' direkte til amerikanske dollar. Dette betyr at én USD tilsvarte én Platypus USD.

Les mer:

Fight Out (FGHT) – Nyeste Move to Earn Project

• CertiK revidert og CoinSniper KYC verifisert
• Tidlig forhåndssalg direkte nå
• Tjen gratis krypto og nå treningsmål
• LBank Labs-prosjektet
• Samarbeidet med Transak, Block Media
• Satsing av belønninger og bonuser