Le protocole de financement décentralisé (DeFi) Platypus a divulgué les détails d’un récent exploit de 9,1 millions de dollars, ainsi que des efforts pour récupérer les fonds et un plan d’indemnisation pour les victimes.
Dans un message moyen le 23 février, la société révélé qu’une erreur de logique dans le mécanisme de contrôle de solvabilité de l’USP dans le cadre du contrat de détention de garantie était responsable des trois attaques distinctes menées par le même exploiteur. Les opérations de Stableswap n’ont pas été affectées, a déclaré Platypus.
Depuis l’attaque, nous avons travaillé avec des experts en sécurité et des parties prenantes pour récupérer les fonds perdus, retrouver le pirate et explorer des solutions potentielles pour récupérer les fonds piégés.
Voici une mise à jour sur les progrès réalisés jusqu’à présent
Consultez notre média pour plus d’informationshttps://t.co/VoNYl9MAtd— Ornithorynque (++) (@Platypusdefi) 23 février 2023
Plusieurs stablecoins et autres actifs ont été volés lors des attaques. Environ 8,5 millions de dollars d’actifs ont été volés lors de la première attaque. Lors du deuxième incident, environ 380 000 actifs ont été envoyés par erreur au contrat Aave v3. La troisième attaque a entraîné le vol d’environ 287 000 $ d’actifs.
Le plan de redressement de Platypus rapportera au moins 63 % des principaux fonds du pool. Suite à l’attaque, près de 35,4% des fonds restaient dans le pool, et 2,4 millions USD Coin (USDC), soit 17,7% des actifs pré-attaque, avaient été récupérés. Un autre 1,4 million (10,4% des actifs d’avant l’attaque) en trésorerie sera également utilisé pour compenser les pertes de LP dans les six mois si les fonds volés ne sont pas récupérés. La société a déclaré :
« Nous discutons actuellement avec diverses parties pour aider à recréer des pièces stables qui ont été piégées dans le contrat d’attaque. Une fois que toutes les pièces stables seront récupérées, nous distribuerons les jetons réémis aux LP au prorata. »
Platypus travaille également avec le protocole Aave pour récupérer des actifs verrouillés d’une valeur d’environ 380 000 $. Une proposition visant à récupérer les fonds sera votée sur le forum de gouvernance d’Aave. « Une fois la proposition approuvée, nous nous associerons à l’équipe Aave pour créer un contrat de récupération qui transférera les fonds exploités du pool Aave au contrat de Platypus. » La société a également noté :
» […] si notre proposition soumise à Aave est approuvée et que Tether confirme le remboursement de l’USDT gelé, nous pourrons récupérer environ 78 % des fonds de l’utilisateur. »
La société de sécurité Blockchain CertiK a signalé pour la première fois l’attaque de prêt flash sur la plate-forme via un tweet le 16 février. Les attaques de prêt flash violent la sécurité des contrats intelligents d’une plate-forme pour emprunter de grosses sommes d’argent sans garantie. L’attaque a entraîné le retrait du stablecoin Platypus USD (USP) du dollar américain, tombant à près de 0,32 $ au moment de la rédaction de cet article, selon à CoinGecko.