Platypus будет работать над компенсационным планом после атаки на $8,5 млн.
Децентрализованная финансовая (DeFi) компания Platypus работает над планом компенсации потерь пользователей после того, как атака на флэш-кредиты вывела из протокола почти 8,5 млн долларов, что повлияло на его стабильный доллар-пег.
В твиттере от 18 февраля Platypus сообщила, что работает над планом компенсации ущерба, и попросила пользователей не реализовывать свои потери в протоколе, заявив, что это усложнит для компании управление проблемой. Ликвидация активов также приостановлена, говорится в протоколе:
2/ Мы работаем над планом по возмещению убытков, пожалуйста, НЕ погашайте USP и не реализуйте убытки. Так нам будет легче справиться с ущербом. Также вам не стоит беспокоиться о ликвидации, так как ликвидация приостановлена, плата за стабильность после атаки не будет засчитана
— Platypus (++) (@Platypusdefi) 18 февраля 2023 г.
По данным фирмы, в настоящее время в процесс восстановления средств вовлечены различные стороны, включая сотрудников правоохранительных органов. Более подробная информация о дальнейших шагах будет раскрыта в ближайшее время, отметили в Platypus.
Часть средств заблокирована в протоколе Aave. Platypus изучает метод потенциального возврата средств, для чего потребуется одобрение предложения о возврате средств на форуме управления Aave.
Компания CertiK, занимающаяся безопасностью блокчейна, впервые сообщила об атаке на платформу флэш-кредитования в твиттере 16 февраля, указав адрес контракта предполагаемого злоумышленника. Из протокола было выведено почти 8,5 млн долларов, и в результате стабильная монета Platypus USD была отвязана от доллара США, упав до 0,33 доллара на момент написания статьи.
Ценовой график Platypus USD (USP) — 7 дней. Источник: CoinGecko
«Злоумышленник использовал флэш-кредит для эксплуатации логической ошибки в механизме проверки платежеспособности USP в контракте, удерживающем залог», — сообщили в компании. Потенциальный подозреваемый уже установлен.
В ходе посмертного технического анализа, проведенного аудиторской компанией Omniscia, выяснилось, что атака стала возможной из-за неправильно размещенного кода после проведения аудита. Omniscia провела аудит версии контракта MasterPlatypusV1 с 21 ноября по 5 декабря 2021 года. Однако эта версия «не содержала точек интеграции с внешней системой platypusTreasure» и поэтому не содержала неправильно расположенных строк кода.
Атака на флэш-кредиты использует безопасность смарт-контракта платформы для заимствования больших сумм денег без залога. После манипулирования криптовалютным активом на одной бирже он быстро продается на другой, позволяя эксплуататору получить прибыль от манипуляции ценой.