Platypus, protokol pertukaran stablecoin DeFi di Avalanche, dieksploitasi sebesar $8.5 juta pada Kamis malam.
Eksploitasi terjadi melalui serangan flashloan yang mengambil keuntungan dari kelemahan dalam mekanisme pemeriksaan solvabilitas USP — yang mengelabui smart contract Platypus dengan berpikir bahwa USP didukung sepenuhnya. USP adalah stabletoken asli Platipus.
Segera setelah exploit, anggota komunitas crypto berkumpul untuk memulihkan dana.
ZachXBT — seorang peneliti penipuan crypto — mengatakan di Twitter bahwa dia melacak alamat dompet penyerang setelah meninjau riwayat rantai mereka sendiri di berbagai rantai.
"Akun OpenSea Anda tertaut langsung ke Twitter Anda dan Anda menyukai Tweet tentang eksploitasi Platypus," cuit ZachXBT.
“Kami ingin menegosiasikan pengembalian dana sebelum kami terlibat dengan penegakan hukum,” tulisnya.
Platipus — sementara itu dan dengan bantuan BlockSec — memperbarui kontrak kumpulannya untuk mengeksploitasi balik $2.4 juta pada USDC dari peretas.
“Mereka memperbaruinya sedemikian rupa sehingga ketika kontrak eksploit menyetorkan USDC (yang ditipu untuk diyakini sebagai pinjaman kilat) sebagai jaminan untuk pencetakan USP, mereka dapat mengelabui kode yang berutang 0 USDC kembali,” pengguna Twitter gugup kata.
USDC dari kumpulan palsu dikirim ke alamat hardcoded untuk menghindari pelari depan yang digeneralisasi, nervoir tweeted.
“Aset lain mungkin akan lebih sulit untuk dipulihkan, tetapi karena mereka mengontrol kode kumpulan, mereka memiliki kontrol yang signifikan,” kata mereka.
Stablecoin Platypus, USP, kehilangan pasaknya terhadap dolar, turun menjadi $0.48. Kemudian secara singkat pulih menjadi $0.97, tetapi sejak itu turun kembali menjadi $0.48, data dari acara CoinGecko.
Sumber: https://blockworks.co/news/counterexploit-salvages-stolen-funds