Platypus, un protocollo di scambio di stablecoin DeFi su Avalanche, è stato sfruttato per 8.5 milioni di dollari giovedì sera.
L'exploit si è verificato tramite un attacco flashloan che ha approfittato di un difetto nel suo meccanismo di controllo della solvibilità USP, che ha indotto gli smart contract di Platypus a pensare che USP fosse completamente supportato. USP è lo stabletoken nativo di Platypus.
Subito dopo l'exploit, i membri della comunità crittografica si sono riuniti per recuperare i fondi.
ZachXBT, un ricercatore di truffe crittografiche, ha dichiarato su Twitter di aver rintracciato l'indirizzo del portafoglio dell'aggressore dopo aver esaminato la cronologia della propria catena su più catene.
"Il tuo account OpenSea si collega direttamente al tuo Twitter e ti è piaciuto un Tweet sull'exploit Platypus", ha twittato ZachXBT.
"Vorremmo negoziare la restituzione dei fondi prima di impegnarci con le forze dell'ordine", ha scritto.
Platypus - nel frattempo e con l'aiuto di BlockSec - ha aggiornato il suo contratto di pool per controsfruttare $ 2.4 milioni in USDC dall'hacker.
"L'hanno aggiornato in modo tale che quando il contratto di exploit ha depositato l'USDC (che è ingannevole credere sia un prestito lampo) come garanzia per il conio dell'USP, potrebbero ingannare il codice che doveva restituire 0 USDC", utente di Twitter nervoso disse.
L'USDC dal pool falso è stato inviato a indirizzi codificati per evitare front runner generalizzati, ha twittato nervoir.
"Le altre risorse saranno probabilmente più difficili da recuperare, ma dato che controllano il codice del pool hanno un controllo significativo", hanno affermato.
La stablecoin di Platypus, USP, ha perso il suo ancoraggio al dollaro, scendendo a $ 0.48. Poi è tornato brevemente a $ 0.97, ma da allora è sceso di nuovo a $ 0.48, dati dagli spettacoli di CoinGecko.
Fonte: https://blockworks.co/news/counterexploit-salvages-stolen-funds