Das dezentralisierte Finanzunternehmen (DeFi) Platypus arbeitet an einem Entschädigungsplan für die Verluste der Benutzer, nachdem ein Flash-Darlehensangriff fast 8,5 Millionen US-Dollar aus dem Protokoll gezogen hat, was sich auf die Stablecoin-Dollar-Bindung auswirkte.
In einem Tweet vom 18. Februar gab Platypus bekannt, an einem Plan zur Entschädigung der Schäden zu arbeiten, und forderte die Benutzer auf, ihre Verluste nicht im Protokoll zu erkennen, da dies es dem Unternehmen erschweren würde, das Problem zu bewältigen. Die Liquidation von Vermögenswerten wird ebenfalls ausgesetzt, heißt es im Protokoll:
2/ Wir arbeiten an einem Plan, um die Verluste auszugleichen, bitte zahlen Sie Ihren USP NICHT zurück und realisieren Sie die Verluste. Es wäre einfacher für uns, den Schaden zu verwalten. Außerdem müssen Sie sich keine Gedanken über die Liquidation machen, da die Liquidation unterbrochen ist und die Stabilitätsgebühr nach dem Angriff nicht gezählt wird
— Schnabeltier (++) (@Platypusdefi) 18. Februar 2023
Nach Angaben der Firma sind derzeit verschiedene Parteien am Rückforderungsprozess der Gelder beteiligt, darunter auch Beamte der Strafverfolgungsbehörden. Weitere Einzelheiten zu den nächsten Schritten werden in Kürze bekannt gegeben, so Platypus.
Ein Teil der Gelder ist im Aave-Protokoll eingeschlossen. Platypus untersucht eine Methode, um die Gelder möglicherweise zurückzufordern, was die Genehmigung eines Rückforderungsvorschlags durch das Governance-Forum von Aave erfordern würde.
Die Blockchain-Sicherheitsfirma CertiK meldete den Flash-Loan-Angriff auf die Plattform erstmals am 16. Februar über einen Tweet zusammen mit der Vertragsadresse des mutmaßlichen Angreifers. Fast 8,5 Millionen US-Dollar wurden aus dem Protokoll entfernt, und infolgedessen wurde die Platypus-USD-Stablecoin vom US-Dollar abgekoppelt und fiel zum Zeitpunkt des Verfassens dieses Artikels auf 0,33 US-Dollar.
„Der Angreifer nutzte einen Blitzkredit, um einen Logikfehler im USP-Solvenzprüfmechanismus im Vertrag mit den Sicherheiten auszunutzen“, sagte das Unternehmen. Ein potenzieller Verdächtiger wurde identifiziert.
Eine technische Post-Mortem-Analyse, die von der Wirtschaftsprüfungsgesellschaft Omniscia durchgeführt wurde, ergab, dass der Angriff durch falsch platzierten Code nach der Prüfung ermöglicht wurde. Omniscia hat eine Version des MasterPlatypusV1-Vertrags vom 21. November bis 5. Dezember 2021 geprüft. Die Version enthielt jedoch „keine Integrationspunkte mit einem externen platypusTreasure-System“ und enthielt daher nicht die falsch angeordneten Codezeilen.
Die Flash-Loan-Attacke nutzt die Smart-Contract-Sicherheit einer Plattform aus, um große Geldbeträge ohne Sicherheiten zu leihen. Sobald ein Kryptowährungs-Asset an einer Börse manipuliert wurde, wird es schnell an einer anderen verkauft, sodass der Exploiter von der Preismanipulation profitieren kann.