Platypus ซึ่งเป็นโปรโตคอลการแลกเปลี่ยน Stablecoin ของ DeFi บน Avalanche ถูกใช้ประโยชน์เป็นเงิน 8.5 ล้านดอลลาร์ในเย็นวันพฤหัสบดี
การใช้ประโยชน์เกิดขึ้นจากการโจมตีด้วยเงินกู้ด่วนที่ใช้ประโยชน์จากข้อบกพร่องในกลไกการตรวจสอบการละลายของ USP ซึ่งหลอกให้สัญญาอันชาญฉลาดของ Platypus คิดว่า USP ได้รับการสนับสนุนอย่างเต็มที่ USP เป็น Stabletoken ดั้งเดิมของ Platypus
ไม่นานหลังจากการใช้ประโยชน์ สมาชิกชุมชน crypto มารวมตัวกันเพื่อกู้คืนเงินทุน
ZachXBT — นักวิจัยการหลอกลวง crypto — กล่าวบน Twitter ว่าเขาติดตามที่อยู่กระเป๋าเงินของผู้โจมตีหลังจากตรวจสอบประวัติห่วงโซ่ของตนเองในหลาย ๆ เครือข่าย
“บัญชี OpenSea ของคุณเชื่อมโยงกับ Twitter ของคุณโดยตรง และคุณชอบทวีตเกี่ยวกับการใช้ประโยชน์จากตุ่นปากเป็ด” ZachXBT ทวีต
“เราต้องการเจรจาคืนเงินก่อนที่จะดำเนินการกับหน่วยงานบังคับใช้กฎหมาย” เขาเขียน
Platypus — ในขณะเดียวกันและด้วยความช่วยเหลือของ BlockSec — ได้อัปเดตสัญญารวมเพื่อตอบโต้การเอารัดเอาเปรียบ 2.4 ล้านดอลลาร์ใน USDC จากแฮ็กเกอร์
“พวกเขาอัพเดทว่าเมื่อสัญญาแสวงประโยชน์ฝาก USDC (ซึ่งถูกหลอกให้เชื่อว่าเป็นเงินกู้ด่วน) เพื่อเป็นหลักประกันสำหรับการสร้างเหรียญกษาปณ์ของ USP พวกเขาสามารถหลอกรหัสที่ค้างคืนเป็น 0 USDC” ผู้ใช้ Twitter ประสาท กล่าว.
USDC จากกลุ่มปลอมถูกส่งไปยังที่อยู่แบบฮาร์ดโค้ดเพื่อหลีกเลี่ยงนักวิ่งแนวหน้าทั่วไป ประหม่าทวีต
“สินทรัพย์อื่นๆ อาจจะกู้คืนได้ยากกว่า แต่เนื่องจากพวกมันควบคุมรหัสพูล จึงมีการควบคุมที่สำคัญ” พวกเขากล่าว
USP เหรียญ Stablecoin ของ Platypus สูญเสียการตรึงไว้กับดอลลาร์ ลดลงเหลือ 0.48 ดอลลาร์ จากนั้นฟื้นตัวชั่วครู่ไปที่ 0.97 ดอลลาร์ แต่หลังจากนั้นก็ลดลงเหลือ 0.48 ดอลลาร์ ข้อมูล จากการแสดงของ CoinGecko
ที่มา: https://blockworks.co/news/counterexploit-salvages-stolen-funds