Platypus ha subito il furto di 8,5 milioni di dollari
Il protocollo di finanza decentralizzata (DeFi) Platypus, ospitato su Avalanche (AVAX), ha subito un hack del valore di 8,5 milioni di dollari il 16 febbraio. L’informazione è stata prima rilevata dalla società di sicurezza blockchain CertiK, prima di essere confermata oggi da Platypus su Twitter.
Dear Community,
— Platypus 🔺 (🦆+🦦+🦫) (@Platypusdefi) February 17, 2023
We regret to inform you that our protocol was hacked recently, and the attacker took advantage of a flaw in our USP solvency check mechanism. They used a flashloan to exploit a logic error in the USP solvency check mechanism in the contract holding the collateral.
Secondo Platypus, l’hack riguarda esclusivamente il pool di liquidità principale contenente l’USP (la stablecoin del protocollo) e gli altri pool sarebbero sicuri. Tuttavia, al momento, i fondi dei clienti del pool interessato sarebbero coperti solo al 35%.
Di conseguenza, l’USP ha perso il suo ancoraggio al dollaro americano per un po’ di tempo, perdendo il 50% del suo prezzo di riferimento.
L’attaccante ha utilizzato il metodo di flash loan per raggiungere il suo obiettivo, una forma di prestito istantaneo che consente di trovare opportunità di arbitraggio, sfortunatamente spesso utilizzata per attaccare i protocolli. Questo è il metodo che era stato utilizzato per l’attacco al protocollo Nereus Finance lo scorso settembre.
In questo caso, i fondi dell’hacker sono stati rintracciati e una parte è già stata messa in blacklist da Tether. Platypus ha annunciato di aver contattato anche Circle e Binance per cercare di congelare una parte dei fondi rimanenti.
L'identità dell'hacker è stata rivelata
L’investigatore ZachXBT, noto per le sue indagini on-chain, ha rivelato l’identità presunta dell’hacker dopo aver studiato diversi indizi che puntavano alla stessa persona. La persona identificata nel tweet ha successivamente cancellato il suo account Twitter e il suo account Instagram.
Inoltre, sono state avviate delle trattative tra Platypus e l’hacker affinché quest’ultimo possa eventualmente restituire i fondi e conservarne una parte. Secondo ZachXBT, un rifiuto da parte dell’hacker potrebbe portare a un’indagine giudiziaria nei suoi confronti.
Hi @retlqw since you deactivated your account after I messaged you.
— ZachXBT (@zachxbt) February 17, 2023
I've traced addresses back to your account from the @Platypusdefi exploit and I am in touch with their team and exchanges.
We’d like to negotiate returning of the funds before we engage with law enforcement. pic.twitter.com/oJdAc9IIkD
"Ho rintracciato gli indirizzi del tuo account a partire dall'exploit di Platypus e sono in contatto con il loro team e alcuni exchange. [...] Ho esaminato la cronologia delle tue transazioni su diverse blockchain, che mi ha condotto al tuo indirizzo ENS retlqw.eth. Il tuo account OpenSea è direttamente collegato al tuo account Twitter e hai messo "mi piace" a un tweet riguardante l'exploit di Platypus."
Secondo l’ultimo tweet di Platypus, il protocollo sarebbe riuscito a recuperare 2,4 milioni di USDC grazie alla cooperazione della società di audit blockchain BlockSec, ovvero un po’ più di un quarto dell’importo totale.