Platypus, DeFi протокол за размяна на стабилни монети на Avalanche, беше експлоатиран за 8.5 милиона долара в четвъртък вечерта.
Експлойтът се случи чрез атака на флаш заем, която се възползва от пропуск в неговия механизъм за проверка на платежоспособността на USP – което подмами умните договори на Platypus да мислят, че USP е напълно обезпечен. USP е роден стейбълтокен на Platypus.
Скоро след експлойта членовете на крипто общността се събраха, за да възстановят средствата.
ZachXBT — изследовател на крипто измами — каза в Twitter, че е проследил адреса на портфейла на нападателя, след като е прегледал историята на тяхната собствена верига в множество вериги.
„Вашият акаунт в OpenSea се свързва директно с вашия Twitter и сте харесали туит за експлойта на Platypus“, туитира ZachXBT.
„Бихме искали да преговаряме за връщане на средствата, преди да се ангажираме с правоприлагащите органи“, пише той.
Platypus — междувременно и с помощта на BlockSec — актуализира своя договор за басейн, за да противодейства на експлоатацията на $2.4 милиона в USDC от хакера.
„Те го актуализираха така, че когато експлойт договорът депозира USDC (което се подлъгва да се вярва, че е бърз заем) като обезпечение за изсичането на USP, те можеха да подмамят кода, че дължи обратно 0 USDC“, потребител на Twitter нервен казах.
USDC от фалшивия пул беше изпратен до твърдо кодирани адреси, за да се избегнат генерализирани предни участници, туитира nervoir.
„Другите активи вероятно ще бъдат по-трудни за възстановяване, но като се има предвид, че контролират кода на пула, те имат значителен контрол“, казаха те.
Стейбълкойнът на Platypus, USP, загуби връзката си с долара, падайки до $0.48. След това за кратко се възстанови до $0.97, но оттогава се понижи обратно до $0.48, данни от предаванията на CoinGecko.
Източник: https://blockworks.co/news/counterexploit-salvages-stolen-funds