Ang Platypus, isang DeFi stablecoin swapping protocol sa Avalanche, ay pinagsamantalahan para sa $8.5 milyon noong Huwebes ng gabi.
Ang pagsasamantala ay naganap sa pamamagitan ng isang pag-atake ng flashloan na sinamantala ang isang depekto sa mekanismo ng pagsusuri sa solvency ng USP nito — na nanlinlang sa matalinong mga kontrata ni Platypus sa pag-iisip na ang USP ay ganap na sinusuportahan. Ang USP ay katutubong stabletoken ni Platypus.
Di-nagtagal pagkatapos ng pagsasamantala, ang mga miyembro ng komunidad ng crypto ay nagsama-sama upang mabawi ang mga pondo.
Sinabi ni ZachXBT — isang researcher ng crypto scam — sa Twitter na nasubaybayan niya ang wallet address ng attacker pagkatapos suriin ang sarili nilang kasaysayan ng chain sa maraming chain.
"Ang iyong OpenSea account ay direktang nagli-link sa iyong Twitter at nagustuhan mo ang isang Tweet tungkol sa pagsasamantala ng Platypus," tweet ni ZachXBT.
"Gusto naming makipag-ayos sa pagbabalik ng mga pondo bago kami makipag-ugnayan sa pagpapatupad ng batas," isinulat niya.
Ang Platypus — samantala at sa tulong ng BlockSec — ay nag-update ng kontrata sa pool upang kontrahin ang $2.4 milyon sa USDC galing sa hacker.
"In-update nila ito nang sa gayon kapag ang kontrata ng pagsasamantala ay nagdeposito ng USDC (na pinaniniwalaan na ito ay isang flash loan) bilang collateral para sa paggawa ng USP, maaari nilang linlangin ang code na may utang itong 0 USDC," user ng Twitter nerbiyos sinabi.
Ang USDC mula sa pekeng pool ay ipinadala sa mga hardcoded na address upang maiwasan ang mga generalised front runner, nervoir tweeted.
"Ang iba pang mga asset ay malamang na mas mahirap na mabawi ngunit dahil kontrolado nila ang pool code mayroon silang makabuluhang kontrol," sabi nila.
Ang stablecoin ng Platypus, USP, ay nawala ang peg nito sa dolyar, na bumaba sa $0.48. Saglit itong nakabawi sa $0.97, ngunit mula noon ay bumaba muli sa $0.48, data mula sa mga palabas sa CoinGecko.
Pinagmulan: https://blockworks.co/news/counterexploit-salvages-stolen-funds