" Фирма Platypus, занимающаяся децентрализованным финансированием (DeFi), работает над планом компенсации потерь пользователей после того, как атака с использованием мгновенного кредита лишила протокол почти 8,5 миллионов долларов, что повлияло на его долларовую привязку стейблкоина.
В твите от 18 февраля Platypus сообщила, что работает над планом компенсации ущерба, и попросила пользователей не учитывать свои потери в протоколе, заявив, что это затруднит решение проблемы для компании. Ликвидация активов также приостановлена, говорится в сообщении:
«Мы работаем над планом компенсации убытков, пожалуйста, НЕ возвращайте свой USP и не реализуйте убытки. Нам было бы легче справиться с ущербом. Кроме того, вам не нужно беспокоиться о ликвидации, так как ликвидация приостановлена, плата за стабильность после атаки не будет засчитана», – пишет Platypus 18 февраля 2023 г.
По данным фирмы, в настоящее время в процессе возврата средств участвуют разные стороны, в том числе сотрудники правоохранительных органов. Дальнейшие подробности о следующих шагах будут раскрыты в ближайшее время, отметил Platypus.
Часть средств заблокирована в протоколе Aave. Platypus изучает способ потенциального возврата средств, для чего потребуется одобрение предложения о восстановлении на форуме управления Aave.
Компания CertiK, занимающаяся безопасностью блокчейна, впервые сообщила об атаке с использованием мгновенного кредита в твите 16 февраля вместе с контрактным адресом предполагаемого злоумышленника. Почти 8,5 миллиона долларов были перенесены из протокола, и в результате стейблкоин Platypus USD (USP) потерял привязку к доллару США, упав до 0,33 доллара на момент написания.
График цены Platypus USD - 7 дней. Источник: CoinGecko
«Злоумышленник взял флэш-кредит, чтобы использовать логическую ошибку в механизме проверки платежеспособности USP в контракте, содержащем залог», — заявили в компании. Потенциальный подозреваемый установлен.
Технический анализ, проведенный аудиторской компанией Omniscia, показал, что атака стала возможной из-за неправильно размещенного кода после его проверки. Omniscia провела аудит версии контракта MasterPlatypusV1 с 21 ноября по 5 декабря 2021 года. Однако версия «не содержала точек интеграции с внешней системой platypusTreasure» и, следовательно, не содержала неправильно упорядоченных строк кода.
Атака мгновенного кредита использует безопасность смарт-контрактов платформы для заимствования больших сумм денег без залога, но в рамках одного блока. Как только криптовалютный актив подвергается манипуляциям на одной бирже, он быстро продается на другой, что позволяет хакеру получать прибыль от манипулирования ценой.
