Platypusin on löydettävä 8.5 miljoonaa dollaria asiakkailleen ja nopeasti

Platypus työstää suunnitelmaa korvatakseen tappiot, joita sen käyttäjille aiheutui flash-lainahyökkäyksestä, jonka seurauksena hajautettu rahoitus (DeFi) -protokolla menetti lähes 8.5 miljoonaa dollaria, mikä vaikutti sen vakaaseen kolikon dollarisidontaan Platypus USD (USP). Hyökkääjä käytti hyökkäyksessä hyväkseen yrityksen USP:n vakavaraisuustarkistusmekanismia.

Perjantaina Twitter post, Platypus vakuutti käyttäjille, että se aikoi löytää korvaussuunnitelman ja pyysi heitä välttämään tappioiden ymmärtämistä pöytäkirjassa, koska se vaikeuttaisi yrityksen hallintaa. Yhtiö on myös toistaiseksi keskeyttänyt omaisuuden selvitystyöt.

2/ Työstämme suunnitelmaa tappioiden korvaamiseksi, ÄLÄ maksa USP:täsi takaisin ja ymmärrä tappiot. Meidän olisi helpompi hallita vahinkoja. Sinun ei myöskään tarvitse huolehtia selvitystilasta, koska selvitystila on keskeytetty, vakausmaksua hyökkäyksen jälkeen ei lasketa

— Platypus 🔺 (🦆+🦦+🦫) (@Platypusdefi) Helmikuu 18, 2023

Hyökkäyksen toteuttamisen jälkeen Platypus-ryhmän jäsen kommentoi asiaa a posti Platypus's Discover -palvelimella sanoen:

 Toistaiseksi kaikki toiminnot on keskeytetty, kunnes saamme enemmän selvyyttä.

DeFi-protokolla on jo lähestynyt riistäjää neuvottelemaan palkkiosta vastineeksi varojen palautuksesta.

Lohkoketjun tietoturvayhtiö CertiK ilmoitti ensimmäisenä flash-lainahyökkäystapauksesta ja lähetti viestin Twitteriin 16. helmikuuta. Yritys paljasti myös väitetyn hyökkääjän sopimusosoitteen, josta käy ilmi protokollasta siirretty summa. 

#CertiKSkynetAlert 🚨

Näemme a #lainalaina hyökätä vastaan @Platypusdefi mikä voi aiheuttaa ~8.5 miljoonan dollarin tappion.

Tx AVAX: 0x1266a937c2ccd970e5d7929021eed3ec593a95c68a99b4920c2efa226679b430

Pysy jäisenä! pic.twitter.com/AM2HOM5M2r

— CertiKAlert (@CertiKAlert) Helmikuu 16, 2023

Yritys lisäsi:

Hyökkääjä käytti flash-lainaa hyödyntääkseen USP:n vakavaraisuustarkistusmekanismin logiikkavirhettä vakuussopimuksessa. Mahdollinen epäilty on tunnistettu.

Siitä lähtien Platypus USD (USP) on irrotettu dollarista ja sen arvo on 0.33 dollaria kirjoitettaessa. Tämä tarkoittaa 67 %:n arvon pudotusta 1 dollarin arvosta. Kun arvo jatkaa laskuaan, käyttäjien talletukset ovat vähemmän suojattuja. Tämä ei kuitenkaan vaikuta muiden poolien varoihin.

Platypus hakee apua varojen takaisinperintäprosessissa

Platypus korosti myös, että se oli käyttänyt useiden tahojen panosta varojen takaisinperintäprosessiin, mukaan lukien lainvalvontasektorin viranomaisia. He myös sitoutuivat paljastamaan lisätietoja seuraavista vaiheista. Muita palautumisprosessissa olevia ovat mm Binance, Tetherja Ympyrä, joita pyydettiin jäädyttämään hakkerin varat lisätappioiden estämiseksi.

Ensimmäisenä jäädytettiin USDT, kun keskustelut kärsineiden sijoittajien korvauksista ja korvauksista jatkuivat. Analyytikko ZachXBT korostettuna että salauspörssi Tether lisäsi valuutan lohkoketjun mustalle listalle pian tapahtuman jälkeen.

Hi @retlqw koska poistit tilisi sen jälkeen, kun lähetin sinulle viestin.

Olen jäljittänyt osoitteet tilillesi @Platypusdefi exploit ja olen yhteydessä heidän tiimiinsä ja vaihtoihinsa.

Haluaisimme neuvotella varojen palauttamisesta ennen kuin otamme yhteyttä lainvalvontaviranomaisiin. pic.twitter.com/oJdAc9IIkD

- ZachXBT (@zachxbt) Helmikuu 17, 2023

Analyytikko pystyi myös löytämään hakkeroinnin tekijän, väittäen että Platypus halusi neuvotella ennen kuin otti yhteyttä lainvalvontaviranomaisiin.

Olen tarkastanut tapahtumahistoriasi useissa ketjuissa, jotka johtavat minut ENS-osoitteeseesi retlqw.eth. OpenSea-tilisi linkittää suoraan Twitteriisi, ja pidit Platypus-hyökkäämisestä kertovasta twiitistä.

Huomionarvoista on, että osa varoista on sidottu Aave-protokollaan, ja vaikka Platypus etsii menetelmää, joka mahdollistaisi rahastojen takaisinperinnän, he tarvitsevat takaisinperintäehdotuksen hyväksynnän Aaven hallintofoorumissa.

Toinen rahastojen takaisinperintäprosessiin liittynyt osapuoli on tilintarkastusyhtiö Omniscia, joka tulee tekemään teknisen post mortem -analyysin. Tarkastuksessa paljastui, että hyökkäys toteutettiin asettamalla koodi väärin. Omniscia analysoi MasterPlatypusV1-sopimuksen version 21. marraskuuta ja 5. joulukuuta 2021 välisenä aikana. Siitä huolimatta versio "ei sisältänyt integraatiopisteitä ulkoiseen PlatypusTreasure-järjestelmään". Näin ollen se ei sisältänyt väärin järjestettyjä koodirivejä.

 A Twitter käyttäjä Daniel Von Fange selitti myös, kuinka hyökkäys tapahtui, sanoen: "Kun oli pyydetty laajaa "hätäpoistoa", koodissa ei ollut oikeita tarkistuksia tämän estämiseksi.

Kaksi tuntia vanhassa Platypus-hakkerissa näyttää siltä, ​​että hyökkääjä talletti 44 miljoonaa, lainasi 42 miljoonaa ja käytti sitten hätäviestiä(), joka antoi hyökkääjälle onneksi kaikki alkuperäiset talletetut varat takaisin – ei vähennyksiä lainasta. pic.twitter.com/QncRrRYg8j

- Daniel Von Fange (@danielvf) Helmikuu 16, 2023

Flash-lainahyökkäykset ovat yleinen uhkatekijöiden käyttämä tietojenkalastelutekniikka, joka hyödyntää yrityksen älykästä sopimusturvaa. Kun tämä on tehty, hyökkääjä lainaa suuria rahasummia ilman vakuuksia tai vakuuksia. Käsiteltyään kryptokohdetta yhdessä pörssissä he myyvät sen toisessa pörssissä, mikä hyötyy hinnanmanipulaatiosta.

USP oli ollut livenä vasta 10 päivää

Erityisesti Platypuksen stablecoin USP oli äskettäin käynnistetty projekti, joka oli ollut livenä vain kymmenen päivää. Stablecoin debytoi 6. helmikuuta 2023, ja hyväksikäyttäjä hyökkäsi helmikuun 16. päivänä ja tienasi lähes 8.5 miljoonaa dollaria.

USP oli suunniteltu vakaaksi kolikoksi ja se oli "sidottu" suoraan Yhdysvaltain dollariin. Tämä tarkoittaa, että yksi USD vastasi yhtä Platypus USD:tä.

Lue lisää:

Fight Out (FGHT) – uusin Move to Earn Project

• CertiK auditoitu & CoinSniper KYC Verified
• Early Stage Ennakkomyynti nyt
• Ansaitse ilmaista kryptoa ja saavuta kuntotavoitteita
• LBank Labs -projekti
• Yhteistyökumppanina Transak, Block Media
• Palkinnot ja bonukset