Platypus, un protocole d'échange de pièces stables DeFi sur Avalanche, a été exploité pour 8.5 millions de dollars jeudi soir.
L'exploit s'est produit via une attaque flashloan qui a profité d'une faille dans son mécanisme de vérification de solvabilité USP - qui a trompé les contrats intelligents de Platypus en leur faisant croire que l'USP était entièrement soutenu. USP est le stabletoken natif de Platypus.
Peu de temps après l'exploit, les membres de la communauté crypto se sont réunis pour récupérer les fonds.
ZachXBT - un chercheur en escroquerie cryptographique - a déclaré sur Twitter qu'il avait retrouvé l'adresse du portefeuille de l'attaquant après avoir examiné son propre historique de chaîne sur plusieurs chaînes.
"Votre compte OpenSea est directement lié à votre Twitter et vous avez aimé un Tweet sur l'exploit Platypus", a tweeté ZachXBT.
"Nous aimerions négocier le retour des fonds avant de nous engager avec les forces de l'ordre", a-t-il écrit.
Platypus - entre-temps et avec l'aide de BlockSec - a mis à jour son contrat de pool pour contre-exploiter 2.4 millions de dollars en USDC du pirate.
"Ils l'ont mis à jour de telle sorte que lorsque le contrat d'exploitation a déposé l'USDC (qu'il est trompeur de croire qu'il s'agit d'un prêt flash) comme garantie pour la frappe de l'USP, ils pourraient tromper le code qu'il devait en retour à 0 USDC", Utilisateur de Twitter nerf .
L'USDC du faux pool a été envoyé à des adresses codées en dur pour éviter les favoris généralisés, a tweeté nervoir.
"Les autres actifs seront probablement plus difficiles à récupérer, mais étant donné qu'ils contrôlent le code du pool, ils ont un contrôle important", ont-ils déclaré.
Le stablecoin de Platypus, USP, a perdu son ancrage au dollar, tombant à 0.48 $. Il a ensuite brièvement récupéré à 0.97 $, mais est depuis redescendu à 0.48 $, données des spectacles CoinGecko.
Source : https://blockworks.co/news/counterexploit-salvages-stolen-funds