La société de financement décentralisé (DeFi) Platypus travaille sur un plan de compensation pour les pertes des utilisateurs après qu’une attaque de prêt flash a drainé près de 8,5 millions de dollars du protocole, affectant son ancrage stable en dollars.
Dans un Tweet du 18 février, Platypus a révélé qu’il travaillait sur un plan pour compenser les dommages et a demandé aux utilisateurs de ne pas réaliser leurs pertes dans le protocole, affirmant que cela rendrait plus difficile la gestion du problème par l’entreprise. La liquidation des actifs est également suspendue, indique le protocole :
2/ Nous travaillons sur un plan pour compenser les pertes, veuillez NE PAS rembourser votre USP et réaliser les pertes. Ce serait plus facile pour nous de gérer les dégâts. De plus, vous n’avez pas à vous soucier de la liquidation car la liquidation est suspendue, les frais de stabilité après l’attaque ne seront pas comptés
— Ornithorynque (++) (@Platypusdefi) 18 février 2023
Selon l’entreprise, différentes parties sont actuellement impliquées dans le processus de récupération des fonds, y compris des responsables de l’application des lois. De plus amples détails sur les prochaines étapes seront bientôt divulgués, a noté Platypus.
Une partie des fonds est bloquée dans le protocole Aave. Platypus explore une méthode pour potentiellement récupérer les fonds, ce qui nécessiterait l’approbation d’une proposition de récupération du forum de gouvernance d’Aave.
La société de sécurité Blockchain CertiK a signalé pour la première fois l’attaque de prêt flash sur la plate-forme via un tweet le 16 février, ainsi que l’adresse contractuelle de l’attaquant présumé. Près de 8,5 millions de dollars ont été retirés du protocole et, par conséquent, le stablecoin Platypus USD a été détaché du dollar américain, tombant à 0,33 $ au moment de la rédaction.
« L’attaquant a utilisé un prêt flash pour exploiter une erreur de logique dans le mécanisme de contrôle de solvabilité USP dans le contrat détenant la garantie », a déclaré la société. Un suspect potentiel a été identifié.
Une analyse technique post-mortem menée par la société d’audit Omniscia a révélé que l’attaque avait été rendue possible par un code mal placé après avoir été audité. Omniscia a audité une version du contrat MasterPlatypusV1 du 21 novembre au 5 décembre 2021. La version, cependant, « ne contenait aucun point d’intégration avec un système platypusTreasure externe » et ne contenait donc pas les lignes de code mal ordonnées.
L’attaque de prêt flash exploite la sécurité des contrats intelligents d’une plate-forme pour emprunter de grosses sommes d’argent sans garantie. Une fois qu’un actif de crypto-monnaie a été manipulé sur un échange, il est rapidement vendu sur un autre, permettant à l’exploiteur de profiter de la manipulation des prix.