Op lawines gebaseerd Platypus Protocol, een AMM die minder dan twee weken bezig was met de lancering van zijn nieuwe stablecoin USP, kreeg donderdag te maken met een flitslening van $ 8.5 miljoen. Er is de laatste tijd genoeg te praten over stablecoins, maar dit verhaal gaat niet over regulering, maar over door de gemeenschap uitgegeven handhaving en samenwerking om acties van de hack recht te zetten.
Dankzij de samenwerking van de gemeenschap heeft Platypus in minder dan 24 uur bijna een derde van het geld teruggekregen – en de hacker zit hem op de hielen.
Bewegen in het tempo van een vogelbekdier? Niet zo snel
Op het punt van robuuste SEC- en stablecoin-discussie, inclusief drama rond de door Paxos uitgegeven BUSD en de nieuwe rechtszaak van de SEC tegen Do Kwon en Terraform Labs (makers van de Terra stablecoin UST), is er deze week meer stablecoin-waanzin die niets te maken heeft met regelgeving.
Platypus Finance is al geruime tijd actief in het Avalanche-ecosysteem als een gevestigde AMM die een liquiditeitspool exploiteert, en heeft onlangs een stablecoin, USP, gelanceerd die is gekoppeld aan de Amerikaanse dollar.
Donderdag gebruikte een hacker die zich routinematig identificeert als 'retlqw' een flitslening om te profiteren van de code van Platypus. Ze probeerden een enkel contract in te zetten om Platypus te exploiteren, maar het werk werd over het algemeen als slordig beschouwd en het resultaat van 'slechte codering' in plaats van 'goede exploitatie'. De hacker nam een flitslening van Aave voor 44M USDC, stortte deze in de Platypus-pool voor liquiditeitspooltokens. De uitbuiter deponeerde die liquiditeitspool-tokens in een staking-contract, waardoor ze een enorme hoeveelheid USP-tokens konden lenen.
Dit is tot nu toe allemaal een standaardprocedure: de hacker maakte toen gebruik van een 'emergencyWithdraw'-functie, die de code manipuleerde zodat de hacker de tokens van de liquiditeitspool kon terugwisselen, de flitslening van Aave kon terugbetalen en toch de USP kon behouden teken. De hacker ruilde USP-tokens voor zoveel mogelijk op dat moment - ongeveer $ 8.5 miljoen aan stablecoins.
Het native token van Platypus Finance (PTP) heeft de laatste tijd aanzienlijke volatiliteit door ups en downs gezien. | Bron: PTP-USDT op TradingView.com
Hot Pursuit
Het Platypus-team overlegde met Avalanche's interne team bij Ava Labs, evenals met professionals uit de industrie zoals BlockSec. Binnen een paar uur waren vier regels gecorrigeerde code geïmplementeerd om het probleem op te lossen. Binnen dezelfde dag plaatste crypto's kenmerkende speurneus ZachXBT een tweet waarin hij de hacker identificeerde en interesse toonde in het onderhandelen over een premie voordat hij deze aan de politie rapporteerde:
Hi @retlqw omdat je je account hebt gedeactiveerd nadat ik je een bericht had gestuurd.
Ik heb adressen getraceerd naar uw account vanaf de @Platypusdefi exploiteren en ik heb contact met hun team en uitwisselingen.
We willen graag onderhandelen over de teruggave van het geld voordat we contact opnemen met de politie. pic.twitter.com/oJdAc9IIkD
— ZachXBT (@zachxbt) 17 februari 2023
In minder dan 48 uur heeft Platypus al 2.4 miljoen USDC teruggekregen en het lijkt erop dat veel van de andere fondsen zijn bevroren dankzij gecoördineerd werk met het team van Platypus. Deze hack dient als een andere duidelijke herinnering dat code vaak verre van perfect is in de vroege ontwikkelingsfasen.
De stablecoin-saga's gaan door.
- Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
- Platoblockchain. Web3 Metaverse Intelligentie. Kennis versterkt. Toegang hier.
- Bron: https://www.newsbtc.com/stablecoin/a-botched-heist-a-look-at-the-sloppy-8-5m-hack-on-platypus-protocol/