Фирма Platypus, занимающаяся децентрализованным финансированием (DeFi), работает над планом компенсации потерь пользователей после того, как атака мгновенного кредита лишила протокол почти 8,5 миллионов долларов, что повлияло на его долларовую привязку к стабильной монете.
В твите от 18 февраля Platypus сообщила, что работает над планом компенсации ущерба, и попросила пользователей не учитывать свои потери в протоколе, заявив, что это затруднит решение проблемы для компании. Ликвидация активов также приостановлена, говорится в протоколе:
2/ Мы работаем над планом компенсации убытков, пожалуйста, НЕ возвращайте свой USP и не реализуйте убытки. Нам было бы легче справиться с ущербом. Кроме того, вам не нужно беспокоиться о ликвидации, так как ликвидация приостановлена, плата за стабильность после атаки не будет засчитана.
— Утконос (++) (@Platypusdefi) 18 февраля 2023 г.
По данным фирмы, в настоящее время в процессе возврата средств участвуют разные стороны, в том числе представители правоохранительных органов. Дальнейшие подробности о следующих шагах будут раскрыты в ближайшее время, отметил Утконос.
Часть средств заблокирована в протоколе Aave. Platypus изучает метод потенциального возврата средств, для чего потребуется одобрение предложения о восстановлении на форуме управления Aave.
Компания CertiK, занимающаяся безопасностью блокчейна, впервые сообщила об атаке на платформу в виде мгновенного кредита в твите 16 февраля вместе с контрактным адресом предполагаемого злоумышленника. Почти 8,5 миллиона долларов были перемещены из протокола, и в результате стейблкоин Platypus USD перестал быть привязанным к доллару США, упав до 0,33 доллара на момент написания.
График цен Platypus USD (USP) — 7 дней. Источник: CoinGecko
«Злоумышленник использовал flashloan, чтобы использовать логическую ошибку в механизме проверки платежеспособности USP в контракте с залогом», — сказали в компании. Потенциальный подозреваемый был установлен.
Технический анализ, проведенный аудиторской компанией Omniscia, показал, что атака стала возможной из-за неправильно размещенного кода после его проверки. Omniscia провела аудит версии контракта MasterPlatypusV1 с 21 ноября по 5 декабря 2021 года. Однако версия «не содержала точек интеграции с внешней системой platypusTreasure» и, следовательно, не содержала неправильно упорядоченных строк кода.
Атака мгновенного кредита использует безопасность смарт-контрактов платформы для заимствования больших сумм денег без залога. Как только криптовалютный актив подвергается манипуляциям на одной бирже, он быстро продается на другой, что позволяет эксплуататору получать прибыль от манипулирования ценой.
Источник: Сointеlеgrаph
