Platypus, ett DeFi stablecoin swapping-protokoll på Avalanche, utnyttjades för 8.5 miljoner dollar på torsdagskvällen.
Exploateringen skedde via en flashloan-attack som utnyttjade ett fel i dess USP-solvenskontrollmekanism – vilket lurade Platypus smarta kontrakt att tro att USP hade full uppbackning. USP är Platypus' ursprungliga stalltoken.
Strax efter exploateringen samlades medlemmar av kryptogemenskapen för att få tillbaka pengarna.
ZachXBT – en kryptobedrägeriforskare – sa på Twitter att han spårade angriparens plånboksadress efter att ha granskat sin egen kedjehistorik över flera kedjor.
"Ditt OpenSea-konto länkar direkt till din Twitter och du gillade en tweet om näbbdjursutnyttjandet", twittrade ZachXBT.
"Vi skulle vilja förhandla om att pengarna ska återlämnas innan vi samarbetar med brottsbekämpning", skrev han.
Platypus – under tiden och med hjälp av BlockSec – uppdaterade sitt poolkontrakt för att motutnyttja 2.4 miljoner dollar i USDC från hackaren.
"De uppdaterade det så att när exploateringskontraktet deponerade USDC (som det luras att tro är ett snabblån) som säkerhet för myntandet av USP, kunde de lura koden som den var skyldig 0 USDC tillbaka," Twitter-användare nervoir sa.
USDC från den falska poolen skickades till hårdkodade adresser för att undvika generaliserade frontrunners, twittrade nervoir.
"De andra tillgångarna kommer förmodligen att bli svårare att återvinna men med tanke på att de kontrollerar poolkoden har de betydande kontroll", sa de.
Platypus's stablecoin, USP, tappade sin koppling till dollarn och sjönk till $0.48. Den återhämtade sig sedan en kort stund till $0.97, men har sedan dess fallit tillbaka till $0.48, datum från CoinGecko visar.
Källa: https://blockworks.co/news/counterexploit-salvages-stolen-funds