Platypus, um protocolo de troca de stablecoin DeFi no Avalanche, foi explorado por US$ 8.5 milhões na noite de quinta-feira.
A exploração ocorreu por meio de um ataque de flashloan que aproveitou uma falha em seu mecanismo de verificação de solvência da USP - que enganou os contratos inteligentes da Platypus fazendo-os pensar que a USP era totalmente apoiada. USP é o stabletoken nativo do Platypus.
Logo após a exploração, os membros da comunidade criptográfica se reuniram para recuperar os fundos.
ZachXBT - um pesquisador de golpes de criptografia - disse no Twitter que rastreou o endereço da carteira do invasor depois de revisar seu próprio histórico de cadeia em várias cadeias.
“Sua conta do OpenSea está vinculada diretamente ao seu Twitter e você gostou de um tweet sobre a exploração do Platypus”, twittou ZachXBT.
“Gostaríamos de negociar a devolução dos fundos antes de nos envolvermos com a aplicação da lei”, escreveu ele.
A Platypus - enquanto isso e com a ajuda da BlockSec - atualizou seu contrato de pool para contra-explorar US$ 2.4 milhões em USDC do hacker.
“Eles o atualizaram de forma que, quando o contrato de exploração depositasse o USDC (que é levado a acreditar que é um empréstimo instantâneo) como garantia para a cunhagem da USP, eles poderiam enganar o código que devia 0 USDC de volta”, usuário do Twitter nervoso disse.
O USDC do pool falso foi enviado para endereços codificados para evitar favoritos generalizados, twittou nervoir.
“Os outros ativos provavelmente serão mais difíceis de recuperar, mas como eles controlam o código do pool, eles têm um controle significativo”, disseram eles.
A stablecoin de Platypus, USP, perdeu sua paridade com o dólar, caindo para US$ 0.48. Em seguida, recuperou brevemente para $ 0.97, mas desde então caiu para $ 0.48, dados, dos programas CoinGecko.
Fonte: https://blockworks.co/news/counterexploit-salvages-stolen-funds