En potentiell misstänkt har identifierats för attacken på 8.5 miljoner dollar mot det decentraliserade finansprotokollet Platypus, som såg att 8.5 miljoner dollar tappades från protokollet.
Blockchain-säkerhetsföretaget CertiK rapporterade först om flashlånsattacken på den Avalanche-baserade stabila bytesplattformen genom en tweet den 16 februari, tillsammans med den påstådda angriparens kontraktsadress.
Enligt CertiK har nästan 8.5 miljoner dollar redan flyttats. Som ett resultat blev Platypus USD stablecoin frikopplad från den amerikanska dollarn, dropp 52.2% till $0.478 i skrivande stund.
Vi ser en #flashloan attack på @Platypusdefi vilket resulterar i en potentiell förlust på ~$8.5 miljoner.
Tx AVAX: 0x1266a937c2ccd970e5d7929021eed3ec593a95c68a99b4920c2efa226679b430
Håll dig kylig! pic.twitter.com/AM2HOM5M2r
— CertiKAlert (@CertiKAlert) Februari 16, 2023
Platypus bekräftade senare hacket på Twitter, medan en moderator för Platypus Telegram-grupp bekräftade att Platypus har stoppat handeln.
"Angriparen använde ett flashlån för att utnyttja ett logiskt fel i USPs solvenskontrollmekanism i kontraktet som innehöll säkerheten."
Platypus bekräftade en förlust på "8.5 miljoner" från sin huvudpool och sa att insättningar täcktes med 85%. Andra pooler påverkades inte. Företaget har kontaktat hackern för att förhandla fram en prispeng för återbetalning av medlen.
Tether Holdings har fryst den stulna USDT, och Platypus hade nått ut till Circle och Binance för att frysa andra stulna tokens.
Kära gemenskapen,
Vi beklagar att informera dig om att vårt protokoll hackades nyligen, och angriparen utnyttjade ett fel i vår USP-mekanism för solvenskontroll. De använde ett flashlån för att utnyttja ett logiskt fel i USP:s solvenskontrollmekanism i kontraktet som innehöll säkerheten.— Platypus (++) (@Platypusdefi) Februari 17, 2023
En tweet från crypto "on-chain sleuth" ZachXBT har kallat ut ett nu raderat Twitter-konto som går av @retlqw, och hävdar att adresserna som identifierats av Platypus är länkade till kontot.
"Jag har spårat adresser tillbaka till ditt konto från @Platypusdefi-utnyttjandet och jag är i kontakt med deras team och utbyten. Vi skulle vilja förhandla om att pengarna ska återlämnas innan vi samarbetar med brottsbekämpande myndigheter, säger ZachXBT.
Platypus officiella Twitter-konto har också retweetat meddelandet från ZachXBT
Hi @retlqw eftersom du avaktiverade ditt konto efter att jag skickade ett meddelande till dig.
Jag har spårat adresser tillbaka till ditt konto från @Platypusdefi utnyttja och jag är i kontakt med deras team och utbyten.
Vi skulle vilja förhandla om att pengarna ska återlämnas innan vi kontaktar brottsbekämpande myndigheter. pic.twitter.com/oJdAc9IIkD
— ZachXBT (@zachxbt) Februari 17, 2023
En blixtattack är samma metod som används av Avi Eisenberg när han påstås ha manipulerat priset på Mango Markets MNGO-mynt i oktober. Eisenberg sa kort efter exploateringen att han trodde att "alla våra handlingar var lagliga handlingar på den öppna marknaden, med användning av protokollet som utformat." Eisenberg greps misstänkt för bedrägeri på december 28.
Uppdatering 17 februari, 4:53 UTC: Lade till en tweet från ZachXBT som rör den möjliga identiteten för angriparen av Platypus Flash-lånet.
Källa: https://cointelegraph.com/news/platypus-defi-faces-flash-loan-attack-according-to-certik