Команда Platypus, разрабатывающая DeFi-протокол на сети Avalanche, предприняла шаги по возврату средств пользователям, пострадавшим от взлома, произошедшего 12 октября. В результате использования уязвимости в механизме мгновенного займа, злоумышленник смог похитить более 1,5 миллиона долларов в токенах AVAX из пула ликвидности. В последующих переговорах 17 октября хакер вернул проекту 90% похищенных средств.
В рамках децентрализованной финансовой системы, функция мгновенного займа (flashloan) дает возможность брать активы в долг без обеспечения при условии их возврата в пределах одного блока транзакций. Однако уязвимости этого механизма могут позволить манипулировать рыночными ценами.
Это означает, что атакующий, взяв крупные суммы в долг, может искусственно создать условия, выгодные для себя, и извлечь выгоду из различий в ценах до возврата кредита. После взлома команда Platypus временно остановила работу всех пулов до выявления и устранения проблемы, а также провела аудит кода с целью повышения безопасности.
Разработчики проекта достигли соглашения с хакером, согласно которому он получит 10% средств в качестве вознаграждения и вернет остальные активы. Взамен они обязались не обращаться в правоохранительные органы для расследования инцидента и поисков хакера. Итоговый ущерб от взлома составил 18 000 AVAX.
В последнем сообщении команда Platypus подчеркнула, что не все активы имеют 100% покрытие, и вывод может быть осуществлен в виде комбинации всех токенов в пуле, стоимость которых равна сумме депозита.
Например, при депонировании USDC и USDT, вывод может включать в себя различные токены в соответствующих пропорциях. Если пользователь вносил только yyAVAX, он получит как AVAX, так и yyAVAX в зависимости от соотношения цен и пропорции в пуле yyAVAX.
Команда Platypus представила страницу эйрдропа, где пользователи имеют возможность подключить свои криптокошельки для возврата депозитов. Однако те, кто вносил средства через сторонние агрегаторы, не смогут воспользоваться этой возможностью.
С момента взлома общая заблокированная стоимость (TVL) проекта сократилась на 99,3% и к 7 ноября, 16:40 мск, составила $77 770.
16 февраля в результате аналогичной атаки Platypus потерял 9 миллионов долларов, а стейблкоин проекта USP потерял привязку к доллару, снизившись на 53%.