Platypus, DeFin vakaa kolikoiden vaihtoprotokolla Avalanchella, käytettiin 8.5 miljoonalla dollarilla torstai-iltana.
Hyödyntäminen tapahtui flashlainaushyökkäyksellä, joka käytti hyväkseen virhettä sen USP:n vakavaraisuustarkistusmekanismissa – mikä huijasi Platypuksen älykkäitä sopimuksia ajattelemaan, että USP oli täysin tuettu. USP on Platypuksen alkuperäinen vakaa tunnus.
Pian hyväksikäytön jälkeen kryptoyhteisön jäsenet kokoontuivat palauttamaan varat.
Salaushuijausten tutkija ZachXBT kertoi Twitterissä, että hän jäljitti hyökkääjän lompakko-osoitteen tarkasteltuaan heidän omaa ketjuhistoriaansa useiden ketjujen välillä.
"OpenSea-tilisi linkittää suoraan Twitteriisi ja pidit Tweetistä Platypus-hyökkäämisestä", ZachXBT twiittasi.
"Haluaisimme neuvotella varojen palauttamisesta ennen kuin teemme yhteistyötä lainvalvontaviranomaisten kanssa", hän kirjoitti.
Platypus - sillä välin ja BlockSecin avulla - päivitti poolisopimuksensa hyödyntääkseen 2.4 miljoonaa dollaria USDC hakkereilta.
"He päivittivät sen niin, että kun hyväksikäyttösopimus talletti USDC:n (jonka huijataan uskovan flashlainan) vakuudeksi USP:n lyömiseen, he saattoivat huijata koodin, jonka se oli velkaa 0 USDC:tä takaisin", Twitter-käyttäjä. hermostunut sanoi.
Väärennettyjen poolien USDC lähetettiin kovakoodattuihin osoitteisiin yleistyneiden edelläkävijöiden välttämiseksi, nervoir twiittasi.
"Muut omaisuudet on todennäköisesti vaikeampi saada takaisin, mutta koska ne hallitsevat poolikoodia, heillä on merkittävä määräysvalta", he sanoivat.
Platypuksen vakaa kolikko USP menetti sidonnaisuutensa dollariin ja laski 0.48 dollariin. Sitten se palautui hetkeksi 0.97 dollariin, mutta on sittemmin laskenut takaisin 0.48 dollariin. tiedot CoinGecko-näyttelyistä.
Lähde: https://blockworks.co/news/counterexploit-salvages-stolen-funds