Platypus, протокол обмена стейблкоинов DeFi на Avalanche, был взломан на 8.5 млн долларов в четверг вечером.
Эксплойт произошел через атаку flashloan, которая воспользовалась недостатком в его механизме проверки платежеспособности USP, который обманул смарт-контракты Platypus, заставив думать, что USP полностью обеспечен. USP — родной стабильный токен Platypus.
Вскоре после эксплойта члены криптосообщества объединились, чтобы вернуть средства.
ZachXBT — исследователь крипто-мошенничества — сообщил в Твиттере, что отследил адрес кошелька злоумышленника после просмотра истории их собственной цепочки в нескольких цепочках.
«Ваша учетная запись OpenSea связана напрямую с вашим Twitter, и вам понравился твит об уязвимости Platypus», — написал ZachXBT.
«Мы хотели бы договориться о возврате средств, прежде чем обращаться в правоохранительные органы», — написал он.
Platypus — тем временем и с помощью BlockSec — обновил свой пуловый контракт, чтобы контрэксплуатировать 2.4 миллиона долларов в USDC от хакера.
«Они обновили его таким образом, что, когда контракт на эксплойт вносил доллары США (которые, как обманывают, считали мгновенным кредитом) в качестве залога для чеканки USP, они могли обмануть код, который он должен вернуть 0 долларов США», — пользователь Twitter. нерв сказал.
USDC из поддельного пула были отправлены на жестко закодированные адреса, чтобы избежать общих лидеров, написал nervoir в Твиттере.
«Другие активы, вероятно, будет труднее восстановить, но, учитывая, что они контролируют код пула, они имеют значительный контроль», — сказали они.
Стейблкоин Platypus, USP, потерял привязку к доллару, упав до 0.48 доллара. Затем он ненадолго восстановился до 0.97 доллара, но с тех пор снова упал до 0.48 доллара. данным с выставок CoinGecko.
Источник: https://blockworks.co/news/counterexploit-salvages-stolen-funds.