Dołączć do naszego Telegram kanał, aby być na bieżąco z najświeższymi doniesieniami
Dziobak pracuje nad planem zrekompensowania strat poniesionych przez jego użytkowników w wyniku ataku pożyczki błyskawicznej, w wyniku którego protokół zdecentralizowanych finansów (DeFi) stracił prawie 8.5 miliona dolarów, co wpłynęło na powiązanie dolara z monetą stabilną, Platypus USD (USP). Exploit wykorzystał w ataku mechanizm kontroli wypłacalności firmy USP.
W piątek Twitter postu, Platypus zapewnił użytkowników, że stara się zidentyfikować plan kompensacyjny, prosząc ich, aby nie zdawali sobie sprawy ze swoich strat w protokole, ponieważ utrudniłoby to firmie zarządzanie problemem. Warto zauważyć, że firma zawiesiła również na razie likwidację aktywów.
2/ Pracujemy nad planem zrekompensowania strat, prosimy NIE spłacać USP i zdawać sobie sprawę ze strat. Byłoby nam łatwiej zarządzać szkodami. Nie musisz też martwić się o likwidację, ponieważ likwidacja jest wstrzymana, opłata stabilizacyjna po ataku nie zostanie naliczona
— Dziobak 🔺 (🦆+🦦+🦫) (@Platypusdefi) 18 lutego 2023 r.
Po przeprowadzeniu ataku członek zespołu Platypus skomentował sprawę w a pisać na serwerze Platypus Discover, mówiąc:
Na razie wszystkie operacje są wstrzymane, dopóki nie uzyskamy większej jasności.
Protokół DeFi zwrócił się już do eksploatatora o negocjacje w sprawie nagrody w zamian za zwrot środków.
CertiK, firma zajmująca się bezpieczeństwem Blockchain, jako pierwsza zgłosiła incydent związany z atakiem pożyczki błyskawicznej, wysyłając post na Twitterze 16 lutego. Firma ujawniła również adres umowy domniemanego atakującego, pokazując kwotę, która została przeniesiona z protokołu.
Widzimy #pożyczka atak na @Dziobakdefi powodując potencjalną stratę w wysokości ~ 8.5 mln USD.
Tx AVAX: 0x1266a937c2ccd970e5d7929021eed3ec593a95c68a99b4920c2efa226679b430
Pozostać zmrożony! pic.twitter.com/AM2HOM5M2r
— Alert CertiK (@CertiKAlert) 16 lutego 2023 r.
Firma dodała:
Atakujący wykorzystał błyskawiczną pożyczkę, aby wykorzystać błąd logiczny w mechanizmie sprawdzania wypłacalności USP w umowie zawierającej zabezpieczenie. Potencjalny podejrzany został zidentyfikowany.
Od tego czasu Platypus USD (USP) odłączył się od dolara, a jego wartość w chwili pisania tego tekstu wynosi 0.33 USD. Oznacza to spadek wartości o 67% w stosunku do wartości 1 USD. Ponieważ wartość nadal spada, depozyty użytkowników są mniej objęte. Nie ma to jednak wpływu na środki w innych pulach.
Dziobak szuka pomocy w procesie odzyskiwania funduszy
Platypus podkreślił również, że wykorzystał wkład kilku stron w proces odzyskiwania funduszy, w tym urzędników z sektora egzekwowania prawa. Zobowiązali się również ujawnić więcej szczegółów na temat kolejnych kroków. Inne w procesie odzyskiwania obejmują Binance, Pęta, Okrągłe, których poproszono o zamrożenie funduszy hakera, aby zapobiec dalszym stratom.
Pierwszym, który został zamrożony, był USDT, ponieważ trwały dyskusje na temat rekompensat i zwrotu poszkodowanym inwestorom. Analityk ZachXBT podświetlony że Tether, giełda kryptograficzna, umieściła walutę na czarnej liście w łańcuchu bloków wkrótce po tym, jak to się stało.
Hi @retlqw ponieważ dezaktywowałeś swoje konto po tym, jak wysłałem Ci wiadomość.
Prześledziłem adresy prowadzące do twojego konta z @Dziobakdefi exploit i jestem w kontakcie z ich zespołem i giełdami.
Chcielibyśmy wynegocjować zwrot środków, zanim skontaktujemy się z organami ścigania. pic.twitter.com/oJdAc9IIkD
— ZachXBT (@zachxbt) 17 lutego 2023 r.
Analityk był również w stanie ustalić, kto dokonał włamania, twierdząc, że Dziobak chciał negocjować przed skontaktowaniem się z organami ścigania.
Sprawdziłem Twoją historię transakcji w wielu sieciach, co doprowadziło mnie do Twojego adresu ENS retlqw.eth. Twoje konto OpenSea łączy się bezpośrednio z Twoim Twitterem i spodobał Ci się tweet o exploicie Platypus.
Warto zauważyć, że część funduszy jest zablokowana w protokole Aave i podczas gdy Dziobak szuka metody, która umożliwiłaby odzyskanie funduszy, potrzebowałby zatwierdzenia propozycji odzyskania na forum zarządzania Aave.
Kolejną stroną, która włączyła się w proces odzyskiwania środków, jest firma audytorska Omniscia, która przeprowadza techniczną analizę pośmiertną. Audyt wykazał, że atak polegał na błędnym umieszczeniu kodu. Omniscia przeanalizowała wersję umowy MasterPlatypusV1 między 21 listopada a 5 grudnia 2021 r. Niemniej jednak wersja „nie zawierała punktów integracji z zewnętrznym systemem PlatypusTreasure”. W związku z tym nie zawierał żadnych źle uporządkowanych linii kodu.
A Twitter użytkownik Daniel Von Fange wyjaśnił również, jak doszło do ataku, mówiąc: „Po zażądaniu dużej„ awaryjnej wypłaty ”kod nie miał odpowiednich kontroli, aby temu zapobiec”.
Wygląda na to, że w ataku hakerskim Platypus sprzed dwóch godzin atakujący zdeponował 44 miliony, pożyczył 42 miliony, a następnie użył funkcji EmergencyWithdraw(), która szczęśliwie zwróciła atakującemu pełne pierwotnie zdeponowane środki – bez potrąceń za pożyczkę. pic.twitter.com/QncRrRYg8j
— Daniel Von Fange (@danielvf) 16 lutego 2023 r.
Ataki typu flash-pożyczka to powszechna technika phishingu stosowana przez cyberprzestępców, wykorzystująca inteligentne zabezpieczenia kontraktów firmy. Po wykonaniu tej czynności atakujący przystępuje do pożyczania dużych sum pieniędzy bez żadnego zabezpieczenia. Po manipulowaniu aktywami kryptograficznymi na jednej giełdzie, następnie przystępują do sprzedaży na innej, czerpiąc w ten sposób korzyści z manipulacji ceną.
USP działało tylko przez 10 dni
Warto zauważyć, że stablecoin USP firmy Platypus był nowo uruchomionym projektem, działającym zaledwie od dziesięciu dni. Stablecoin zadebiutował 6 lutego 2023 r., a exploiter zaatakował 16 lutego, kradnąc prawie 8.5 miliona dolarów.
USP został zaprojektowany jako moneta stabilna i był „powiązany” bezpośrednio z dolarem amerykańskim. Oznacza to, że jeden dolar był odpowiednikiem jednego dolara dziobaka.
Czytaj więcej:
Fight Out (FGHT) – najnowszy ruch w celu zdobycia projektu
- Audyt CertiK i weryfikacja CoinSniper KYC
- Wczesna przedsprzedaż już teraz
- Zarabiaj darmowe kryptowaluty i osiągaj cele fitness
- Projekt Laboratoriów LBanku
- Współpracuje z Transak, Block Media
- Stawianie nagród i bonusów
Dołączć do naszego Telegram kanał, aby być na bieżąco z najświeższymi doniesieniami
Źródło: https://insidebitcoins.com/news/platypus-needs-to-find-8-5-million-for-its-customers-and-fast