💬 Неудачное ограбление: взгляд на неаккуратный взлом протокола Platypus стоимостью 8,5 млн долларов от 2023-02-18

Неудачное ограбление: взгляд на неаккуратный взлом протокола Platypus стоимостью 8,5 млн долларов

Основанный на Avalanche Platypus Protocol, AMM, который менее чем за две недели до запуска своей новой стабильной монеты USP, в четверг подвергся атаке флэш-кредита на 8,5 млн долларов. В последнее время есть о чем поговорить о стейблкоинах, но эта история не о регулировании, а скорее о принуждении сообщества и сотрудничестве для исправления действий после взлома.

Менее чем за 24 часа совместная работа сообщества позволила Platypus вернуть почти треть средств, а у хакера на хвосте есть сыщики.

На пороге активного обсуждения SEC и стейблкоина, в том числе драмы вокруг выпущенного Paxos BUSD и нового иска SEC против Do Kwon и Terraform Labs (создателей UST стейблкоина Terra), на этой неделе происходит еще больше безумия со стейблкоином, не связанного с регулированием.

Platypus Finance уже некоторое время работает в экосистеме Avalanche в качестве авторитетного AMM, управляющего пулом ликвидности, и недавно запустила стабильную монету USP, привязанную к доллару США.

В четверг хакер, который обычно идентифицирует себя как «retlqw», воспользовался флэш-кредитом, чтобы воспользоваться кодом Platypus. Они стремились развернуть единый контракт для эксплуатации Platypus, но работа в целом была расценена как небрежная и результат «плохого кодирования», а не «хорошего использования». пул Platypus для токенов пула ликвидности. Эксплуататор вложил эти токены пула ликвидности в контракт на размещение, что позволило им занять огромное количество токенов USP.

До сих пор это была стандартная процедура: хакер воспользовался функцией «emergencyWithdraw», которая манипулировала кодом, чтобы позволить хакеру обменять токены пула ликвидности, вернув флэш-кредит от Aave, и по-прежнему поддерживать USP. токен. Хакер обменял токены USP на столько, сколько мог на тот момент — стабильные монеты на сумму около 8,5 миллионов долларов.

Собственный токен Platypus Finance (PTP) в последнее время демонстрирует значительную волатильность из-за взлетов и падений. | Источник: PTP-USDT на TradingView.com.

Команда Platypus консультировалась с внутренней командой Avalanche в Ava Labs, а также с отраслевыми профессионалами, такими как BlockSec. В течение нескольких часов были реализованы четыре строки исправленного кода для устранения проблемы. В тот же день сыщик криптовалюты ZachXBT опубликовал твит, в котором идентифицировал хакера и выразил заинтересованность в переговорах о награде, прежде чем сообщить о них в правоохранительные органы:

Привет @retlqw, так как ты деактивировал свою учетную запись после того, как я написал тебе. Я отследил адреса вашей учетной записи из эксплойта @Platypusdefi и связался с их командой и биржами. Мы хотели бы договориться о возврате средств, прежде чем обращаться в правоохранительные органы. pic.twitter.com/oJdAc9IIkD — ZachXBT (@zachxbt) 17 февраля 2023 г.

Привет @retlqw, так как ты деактивировал свою учетную запись после того, как я написал тебе.

Я отследил адреса вашей учетной записи из эксплойта @Platypusdefi и связался с их командой и биржами.

Мы хотели бы договориться о возврате средств, прежде чем обращаться в правоохранительные органы. pic.twitter.com/oJdAc9IIkD

— ZachXBT (@zachxbt) 17 февраля 2023 г.

Менее чем за 48 часов Platypus уже вернул 2,4 миллиона долларов США, и похоже, что многие другие средства заморожены благодаря скоординированной работе с командой Platypus. Этот хак служит еще одним ярким напоминанием о том, что код часто далек от совершенства на ранних стадиях разработки.

Саги о стейблкоинах продолжаются.