Протокол децентралізованого фінансування (DeFi) Platypus Finance втратив 8,5 мільйона доларів після атаки швидкої позики. Однак за допомогою деяких мережевих детективів проекту вдалося вистежити хакера та навіть повернути частину коштів.
У четвер експлуататор скористався недоліком у Platypus USD (USP), стейблкойні протоколу, за допомогою атаки флеш-позики, щоб викрасти кошти користувачів. «Вони використали флеш-позику, щоб використати логічну помилку в механізмі перевірки платоспроможності USP у контракті, що містить заставу», — підтвердив проект у дописі у Twitter.
У проекті зазначено, що з основного пулу було вкрадено майже 8,5 мільйонів доларів. У результаті стейблкоїн Platypus USD був від’єднаний від долара США, впавши до історичного мінімуму в 0,33 долара США, що на 66% менше порівняно з запланованою прив’язкою в 1 долар США.
Platypus додав, що депозити були покриті на 85%, а інші пули не постраждали. Компанія заявила, що зв’язалася з хакером, щоб домовитися про винагороду за повернення коштів, а також почала працювати з великими криптокомпаніями, щоб заморозити кошти.
Невдовзі після цього криптографічний детектив ZachXBT виявив, що тепер видалений обліковий запис Twitter під назвою @retlqw відповідальний за злом, стверджуючи, що адреси, визначені Platypus, пов’язані з обліковим записом.
«Я відстежив адреси вашого облікового запису за допомогою експлойту Platypus, і я спілкуюся з їхньою командою та біржами», — сказав ZachXBT у твіті, спрямованому на користувача @retlqw. «Ми хотіли б домовитися про повернення коштів, перш ніж звертатися до правоохоронних органів».
ZachXBT сказав, що йому вдалося відстежити хакера, переглянувши історію їхніх транзакцій у кількох мережах, що привело мене до їхньої адреси ENS retlqw.eth. «Ваш обліковий запис OpenSea пов’язаний безпосередньо з вашим Twitter, і вам сподобався твіт про експлойт Platypus», — сказав криптодослідник.
Тим часом Platypus за допомогою фірми з безпеки блокчейну BlockSec оновила свій контракт на пул, щоб контрексплуатувати 2,4 мільйона доларів США в USDC від хакера.
«Вони оновили його таким чином, що коли контракт на експлойт депонує USDC (яку обманюють як флеш-кредит) як заставу для карбування USP, вони можуть обдурити код, що він повинен повернути 0 USDC», — користувач Twitter. нервозний сказав.
Користувач додав, що Platypus відправляє USDC з підробленого пулу на жорстко закодовані адреси, щоб уникнути узагальнених лідерів. «Інші активи, ймовірно, буде важче відновити, але враховуючи те, що вони контролюють код пулу, вони мають значний контроль», — сказали вони.
Злом Platypus з’являється в той час, коли криптовалюта рясніє експлойтами та маніпуляціями. Як повідомляє промисловість втратили приблизно 4 мільярди доларів цифрових активів для злому, шахрайства, шахрайства та махінацій минулого року.
Серед різних форм незаконної діяльності хакери спричинили основну більшість втрат криптовалюти у 2022 році. Якщо говорити точніше, хакери вкрали понад 3,7 мільярда доларів США, або понад 95% усієї криптовалюти, втраченої за рік. Шахрайство, шахрайство та шахрайство склали лише 4,4% від загальних збитків.