GetBlock Magazine - Что произошло? Команда DeFi-протокола Platypus в сети Avalanche открыла вывод средств для пользователей, пострадавших от взлома 12 октября. С помощью уязвимости в механизме мгновенного займа хакер украл из пула ликвидности более 1,5 млн долларов в токенах AVAX, однако по итогам успешных переговоров 17 октября вернул проекту 90% украденных средств.
Источник: Twitter (NYSE:TWTR).com
Что еще известно? В рамках децентрализованной финансовой системы функция мгновенного займа/флэш-кредитования (flashloan) позволяет занимать активы без залога при условии их возврата в рамках одного блока транзакций. Однако уязвимости этого механизма позволяют манипулировать рыночными ценами.
Так, занимая крупные суммы средств, злоумышленник может искусственно создать такие рыночные условия, которые позволят ему извлечь выгоду из ценовых расхождений до погашения кредита. После взлома команда Platypus приостановила работу всех пулов до выявления и устранения проблемы, а также проведения аудита кода на предмет безопасности.
Разработчики проекта заключили с хакером соглашение, по которому он оставляет себе 10% средств в качестве вознаграждения и возвращает остальные активы. Взамен они обязались не обращаться в правоохранительные органы для расследования инцидента и поисков хакера. Чистый убыток в результате взлома составил 18 000 AVAX.
В новом обращении команда Platypus отметила, что не все активы имеют 100%-й коэффициент покрытия, и вывод может осуществляться в виде комбинации всех токенов в пуле, стоимость которых равна сумме депозита.
Например, при депонировании USDC и USDT в отдельных случаях вывод будет включать в себя USDC, USDT, USDC.e, USDT.e и DAI.e в относительных пропорциях. Если пользователь вносил только yyAVAX, он получит как AVAX, так и yyAVAX в зависимости от соотношения цен и пропорции в пуле yyAVAX.
Команда Platypus запустила страницу эйрдропа, где пользователи могут подключить свой криптокошелек для возврата депозитов. Этой страницей не смогут воспользоваться те, кто вносил средства в протокол через сторонние агрегаторы.
С момента взлома общая заблокированная стоимость (TVL) проекта обрушилась на 99,3% и на 7 ноября 16:40 мск составила $77 770.
16 февраля в результате аналогичной атаки Platypus потерял 9 млн долларов, а стейблкоин проекта USP потерял привязку к доллару, снизившись на 53%.