Platypus-ը՝ DeFi stablecoin-ի փոխանակման արձանագրությունը Ավալանշի վրա, շահագործվել է 8.5 միլիոն դոլարով հինգշաբթի երեկոյան:
Շահագործումը տեղի է ունեցել ֆլեշ-վարկի հարձակման միջոցով, որն օգտվել է իր USP-ի վճարունակության ստուգման մեխանիզմի թերությունից, որը խաբել է Platypus-ի խելացի պայմանագրերին՝ կարծելով, որ USP-ն ամբողջությամբ ապահովված է: USP-ը Platypus-ի բնիկ stabletoken-ն է:
Շահագործումից անմիջապես հետո կրիպտո համայնքի անդամները հավաքվեցին՝ վերականգնելու միջոցները:
ZachXBT-ը՝ կրիպտո խարդախության հետազոտող, Twitter-ում ասել է, որ հայտնաբերել է հարձակվողի դրամապանակի հասցեն՝ բազմաթիվ շղթաներով իրենց սեփական շղթայի պատմությունը վերանայելուց հետո:
«Ձեր OpenSea հաշիվը ուղղակիորեն կապվում է ձեր Twitter-ին, և ձեզ դուր է եկել Platypus-ի շահագործման մասին թվիթը», - գրել է ZachXBT-ն:
«Մենք կցանկանայինք բանակցել միջոցների վերադարձի շուրջ՝ նախքան իրավապահների հետ աշխատելը», - գրել է նա:
Platypus-ը, միևնույն ժամանակ և BlockSec-ի օգնությամբ, թարմացրել է իր լողավազանի պայմանագիրը՝ 2.4 միլիոն դոլարի հակաշահագործման համար: USDC հաքերից.
«Նրանք թարմացրել են այն այնպես, որ երբ շահագործման պայմանագիրը ավանդադրում է USDC-ն (որը խաբված է ենթադրել, որ արագ վարկ է) որպես գրավադրում USP-ի արտադրության համար, նրանք կարող են խաբել այն կոդը, որով նա 0 USDC հետ է պարտք»,- Twitter-ի օգտատերը: նյարդային ասաց.
Կեղծ լողավազանից USDC-ն ուղարկվել է կոշտ կոդավորված հասցեներով՝ ընդհանրացված առաջատարներից խուսափելու համար, գրել է nervoir-ը Twitter-ում:
«Մյուս ակտիվները հավանաբար ավելի դժվար կլինի վերականգնել, բայց հաշվի առնելով, որ նրանք վերահսկում են լողավազանի ծածկագիրը, նրանք զգալի վերահսկողություն ունեն», - ասացին նրանք:
Platypus-ի stablecoin-ը՝ USP-ը, կորցրել է իր կապը դոլարի հետ՝ իջնելով մինչև 0.48 դոլար: Այնուհետև այն կարճ ժամանակով վերականգնվել է մինչև 0.97 դոլար, բայց դրանից հետո իջել է մինչև 0.48 դոլար, տվյալներ CoinGecko շոուներից:
Աղբյուր՝ https://blockworks.co/news/counterexploit-salvages-stolen-funds