A Platypusnak 8.5 millió dollárt kell találnia ügyfelei számára, és gyorsan

A Platypus azon dolgozik, hogy kompenzálja azokat a veszteségeket, amelyeket a felhasználók egy gyorshitel-támadást követően szenvedtek el, amikor a decentralizált pénzügyi (DeFi) protokoll közel 8.5 millió dollárt veszített, ami kihatással volt a stabil érmére, a Platypus USD-re.USP). A kizsákmányoló a cég USP fizetőképesség-ellenőrző mechanizmusát használta ki a támadás során.

Pénteken Twitter hozzászólás, a Platypus biztosította a felhasználókat arról, hogy kompenzációs tervet keres, és arra kérte őket, hogy ne ismerjék fel veszteségeiket a protokollban, mivel ez megnehezítené a vállalat számára a probléma kezelését. Nevezetesen, a cég egyelőre felfüggesztette a vagyonfelszámolásokat is.

2/ Dolgozunk egy terven a veszteségek kompenzálására, kérjük, NE fizesse vissza USP-jét és realizálja a veszteségeket. Könnyebb lenne kezelni a károkat. Ezenkívül nem kell aggódnia a felszámolás miatt, mivel a felszámolás szünetel, a támadás utáni stabilitási díj nem kerül beszámításra

— Platypus 🔺 (🦆+🦦+🦫) (@Platypusdefi) Február 18, 2023

A támadás végrehajtása után a Platypus csapat egyik tagja kommentálta az ügyet a Hozzászólás a Platypus Discover szerverén, így szólva:

 Egyelőre minden művelet szünetel, amíg tisztább nem lesz.

A DeFi protokoll már megkereste a kizsákmányolót, hogy tárgyalásokat folytassanak a pénz visszafizetéséért cserébe jutalmazó jutalomról.

A CertiK blokklánc biztonsági cég volt az első, aki a gyorskölcsönzési incidensről számolt be, és február 16-án közzétett egy bejegyzést a Twitteren. A cég felfedte az állítólagos támadó szerződéses címét is, feltüntetve a protokollból áthelyezett összeget. 

#CertiKSkynetAlert ????

Látjuk a #vakuhitel támadásra @Platypusdefi ami ~8.5 millió dollár potenciális veszteséget eredményez.

Tx AVAX: 0x1266a937c2ccd970e5d7929021eed3ec593a95c68a99b4920c2efa226679b430

Maradj Frosty! pic.twitter.com/AM2HOM5M2r

— CertiKAlert (@CertiKAlert) Február 16, 2023

A cég hozzátette:

A támadó gyorskölcsönt használt fel, hogy kihasználja a biztosítékot tartalmazó szerződésben szereplő USP fizetőképesség-ellenőrző mechanizmusának logikai hibáját. A lehetséges gyanúsítottat azonosították.

Azóta a Platypus USD (USP) levált a dollárról, és értéke 0.33 dolláron áll a cikk írásakor. Ez 67%-os értékcsökkenést jelent az 1 dolláros értékhez képest. Ahogy az érték tovább csökken, a felhasználói betétek kevésbé fedezettek. A többi poolban lévő alapok azonban nem érintik.

Platypus segítséget kér az alapok visszaszerzési folyamatában

A Platypus azt is kiemelte, hogy több fél közreműködését is felhasználta az alapok behajtási folyamatában, köztük a jogalkalmazási szektorban dolgozó tisztviselőket. Azt is elkötelezték magukat, hogy további részleteket árulnak el a következő lépésekről. A helyreállítási folyamat többi része is Binance, Tetherés Kör, akiket arra kértek, hogy fagyasszák be a hacker pénzét, hogy megelőzzék a további veszteségeket.

Elsőként az USDT volt befagyasztva, mivel folytatódtak az érintett befektetők kártalanításáról és visszatérítéséről szóló viták. ZachXBT elemző kiemelt hogy a Tether, egy kriptotőzsde nem sokkal azután feketelistára tette a valutát a blokkláncon.

Hi @retlqw mivel deaktiváltad a fiókodat, miután üzenetet küldtem neked.

Visszavezettem a címeket a fiókjához a @Platypusdefi exploit, és kapcsolatban vagyok a csapatukkal és a cserékkel.

Szeretnénk tárgyalni az alapok visszaküldéséről, mielőtt kapcsolatba lépnénk a bűnüldöző szervekkel. pic.twitter.com/oJdAc9IIkD

— ZachXBT (@zachxbt) Február 17, 2023

Az elemzőnek azt is sikerült kiderítenie, ki követte el a feltörést, követelő hogy Platypus tárgyalni akart a bűnüldöző szervek megkeresése előtt.

Áttekintettem több láncon keresztüli tranzakciós előzményeit, amelyek az Ön ENS-címéhez vezettek: retlqw.eth. Az OpenSea-fiókod közvetlenül kapcsolódik a Twitteredhez, és tetszett egy tweet a Platypus kihasználásáról.

Figyelemre méltó, hogy az alapok egy része az Aave protokollban le van zárva, és bár a Platypus olyan módszert keres, amely lehetővé tenné az alapok visszaszerzését, az Aave irányítási fórumán egy visszatérítési javaslat jóváhagyására lenne szükség.

Egy másik fél, amely csatlakozott az alapok visszafizettetési folyamatához, az Omniscia könyvvizsgáló cég, amely technikai utólagos elemzést végez. Az ellenőrzés során kiderült, hogy a támadást egy kód helytelen elhelyezésével hajtották végre. Az Omniscia elemezte a MasterPlatypusV1 szerződés egy verzióját 21. november 5. és december 2021. között. Ennek ellenére a verzió „nem tartalmazott integrációs pontokat külső PlatypusTreasure rendszerrel”. Ennek megfelelően nem tartalmazott hibásan rendezett kódsorokat.

 A Twitter Daniel Von Fange felhasználó azt is elmagyarázta, hogyan történt a támadás, mondván: „Miután nagy „sürgősségi visszavonást” kért, a kód nem tartalmazta a megfelelő ellenőrzéseket, amelyek megakadályozták, hogy ez megtörténjen.

A kétórás Platypus-hacknél úgy tűnik, hogy a támadó 44 milliót letétbe helyezett, 42 milliót kölcsönzött, majd az alarmWithdraw()-t használta, amely boldogan visszaadta a támadónak a teljes eredeti letétbe helyezett pénzt – a kölcsönből nem kellett levonni. pic.twitter.com/QncRrRYg8j

- Daniel Von Fange (@danielvf) Február 16, 2023

A gyorskölcsönzési támadások egy gyakori adathalász technika, amelyet a fenyegetés szereplői alkalmaznak, kihasználva a vállalat intelligens szerződésbiztonságát. Ha ez megtörtént, a támadó nagy összegű pénzt kölcsönöz mindenféle fedezet vagy biztosíték nélkül. Miután manipuláltak egy kriptoeszközt az egyik tőzsdén, eladják azt egy másikon, így profitálva az ármanipulációból.

Az USP csak 10 napja volt élőben

Nevezetesen, a Platypus stablecoin USP egy újonnan indított projekt volt, amely mindössze tíz napja volt élőben. A stablecoin 6. február 2023-án debütált, a kizsákmányoló pedig február 16-án támadott, és majdnem 8.5 millió dollárt keresett.

Az USP-t stabil érmének tervezték, és közvetlenül az amerikai dollárhoz volt „kötve”. Ez azt jelenti, hogy egy USD egy Platypus USD-nek felelt meg.

Bővebben:

Fight Out (FGHT) – Legújabb bevételszerzési projekt

• CertiK auditált és CoinSniper KYC ellenőrzött
• Early Stage Presale Live most
• Szerezzen ingyenes kriptográfiai adatokat, és teljesítse fitneszcéljait
• LBank Labs projekt
• A Transak, a Block Media partnere
• Jutalmak és bónuszok