Platypus, een DeFi stablecoin-swapprotocol op Avalanche, werd donderdagavond voor $ 8.5 miljoen uitgebuit.
De exploit vond plaats via een flashloan-aanval die profiteerde van een fout in het USP-solvabiliteitscontrolemechanisme - waardoor de slimme contracten van Platypus werden misleid door te denken dat USP volledig werd ondersteund. USP is het oorspronkelijke stabletoken van Platypus.
Kort na de exploit kwamen leden van de cryptogemeenschap samen om het geld terug te vorderen.
ZachXBT - een crypto-zwendelonderzoeker - zei op Twitter dat hij het portemonnee-adres van de aanvaller had opgespoord na het bekijken van hun eigen kettinggeschiedenis over meerdere ketens.
"Je OpenSea-account linkt rechtstreeks naar je Twitter en je vond een Tweet over de Platypus-exploit leuk", tweette ZachXBT.
"We willen graag onderhandelen over de teruggave van het geld voordat we de politie inschakelen", schreef hij.
Platypus – ondertussen en met de hulp van BlockSec – heeft zijn poolcontract geüpdatet om $ 2.4 miljoen in USDC van de hacker.
"Ze hebben het zo bijgewerkt dat wanneer het exploitatiecontract de USDC deponeerde (waarvan wordt aangenomen dat het een flitslening is) als onderpand voor het slaan van de USP, ze de code konden misleiden dat het 0 USDC terug verschuldigd was," Twitter-gebruiker nerveus gezegd.
De USDC van de neppool werd naar hardgecodeerde adressen gestuurd om algemene koplopers te vermijden, tweette nervoir.
"De andere activa zullen waarschijnlijk moeilijker te herstellen zijn, maar aangezien ze de poolcode beheersen, hebben ze aanzienlijke controle", zeiden ze.
De stablecoin van Platypus, USP, verloor zijn koppeling aan de dollar en zakte naar $0.48. Het herstelde zich vervolgens kort tot $ 0.97, maar is sindsdien weer gedaald tot $ 0.48, gegevens van CoinGecko shows.
Bron: https://blockworks.co/news/counterexploit-salvages-stolen-funds