Platypus는 고객을 위해 8.5만 달러를 빨리 찾아야 합니다.

Platypus는 탈중앙화 금융(DeFi) 프로토콜이 약 8.5만 달러의 손실을 입어 스테이블코인 달러 페그인 Platypus USD(USP). 공격자는 공격에서 회사의 USP 지급 능력 확인 메커니즘을 이용했습니다.

금요일에 트위터 게시물, Platypus는 보상 계획을 찾고 있다고 사용자에게 확신시켰고, 그렇게 하면 회사가 문제를 관리하기가 더 어려워질 수 있으므로 프로토콜에서 손실을 깨닫지 않도록 요청했습니다. 특히 자산유동화도 당분간 중단했다.

2/ 저희는 손실을 보상할 계획을 세우고 있습니다. USP를 상환하지 말고 손실을 인식하십시오. 손상을 관리하는 것이 더 쉬울 것입니다. 또한 청산이 일시 중지되므로 청산에 대해 걱정할 필요가 없습니다. 공격 후 안정성 수수료는 계산되지 않습니다.

— 오리너구리 🔺 (🦆+🦦+🦫) (@Platypusdefi) ２０２４년 ２월 ２７일

공격이 실행된 후 오리너구리 팀원은 이 문제에 대해 논평했습니다. 게시 Platypus의 Discover 서버에서 다음과 같이 말합니다.

 지금은 더 명확해질 때까지 모든 작업이 일시 중지됩니다.

DeFi 프로토콜은 이미 자금 반환에 대한 대가로 포상금에 대한 협상을 위해 착취자에게 접근했습니다.

블록체인 보안업체 서틱(CertiK)은 지난 16월 XNUMX일 트위터에 글을 올리며 플래시론 공격 사건을 가장 먼저 알렸다. 또 프로토콜에서 옮긴 금액을 보여주는 공격자의 계약 주소도 공개했다. 

#CertiKSkynetAlert ????

우리는보고있다 # 플래시 론 공격하다 @오리너구리 ~$8.5M의 잠재적 손실이 발생합니다.

Tx AVAX: 0x1266a937c2ccd970e5d7929021eed3ec593a95c68a99b4920c2efa226679b430

서리가 내린 상태를 유지하십시오! pic.twitter.com/AM2HOM5M2r

— CertiK 경고(@CertiKAlert) ２０２４년 ２월 ２７일

회사는 덧붙였다 :

공격자는 담보를 보유하고 있는 계약의 USP 지급 능력 확인 메커니즘의 논리 오류를 악용하기 위해 플래시 대출을 사용했습니다. 잠재적 용의자가 확인되었습니다.

그 이후로 오리너구리 USD(USP)는 달러에서 고정 해제되었으며 그 가치는 작성 당시 $0.33입니다. 이는 $67 가치에서 1% 가치 하락을 나타냅니다. 가치가 계속 하락함에 따라 사용자 예치금은 덜 커버됩니다. 그러나 다른 풀의 자금은 영향을 받지 않습니다.

오리너구리는 자금 회수 과정에서 도움을 구합니다

Platypus는 또한 법 집행 부문의 공무원을 포함하여 자금 회수 과정에서 여러 당사자의 의견을 고용했다고 강조했습니다. 그들은 또한 다음 단계에 대한 자세한 내용을 공개하기로 약속했습니다. 복구 프로세스의 다른 항목은 다음과 같습니다. 바이낸스, Tether및 원, 더 많은 손실을 방지하기 위해 해커의 자금을 동결하라는 요청을 받았습니다.

영향을 받는 투자자 보상 및 상환에 대한 논의가 계속되면서 가장 먼저 동결된 것은 USDT였습니다. 분석가 ZachXBT 강조 암호화폐 거래소인 테더(Tether)는 사건 발생 직후 블록체인의 통화를 블랙리스트에 올렸습니다.

Hi @retlqw 메시지를 보낸 후 계정을 비활성화했기 때문입니다.

귀하의 계정 주소를 추적했습니다. @오리너구리 익스플로잇하고 나는 그들의 팀 및 교환과 연락하고 있습니다.

법 집행 기관에 참여하기 전에 자금 반환에 대해 협상하고 싶습니다. pic.twitter.com/oJdAc9IIkD

— ZachXBT(@zachxbt) ２０２４년 ２월 ２７일

분석가는 또한 해킹을 저지른 사람을 찾을 수 있었습니다. 주장 Platypus가 법 집행 기관에 연락하기 전에 협상하기를 원했습니다.

여러 체인에서 귀하의 거래 내역을 검토한 결과 귀하의 ENS 주소 retlqw.eth로 연결되었습니다. 귀하의 OpenSea 계정은 귀하의 Twitter에 직접 연결되며 오리너구리 익스플로잇에 대한 트윗에 좋아요를 표시했습니다.

주목할 만한 점은 자금의 일부가 Aave 프로토콜에 잠겨 있고 Platypus가 자금 복구를 가능하게 하는 방법을 찾고 있는 동안 Aave 거버넌스 포럼에서 복구 제안의 승인이 필요하다는 것입니다.

펀드 회수 프로세스에 합류한 또 다른 당사자는 감사 회사인 Omniscia이며 기술적 사후 분석을 수행하기 위해 들어옵니다. 감사 결과 코드를 잘못 배치하여 공격이 실행된 것으로 나타났습니다. Omniscia는 1년 21월 5일부터 2021월 XNUMX일까지 MasterPlatypusVXNUMX 계약 버전을 분석했습니다. 그럼에도 불구하고 이 버전에는 "외부 PlatypusTreasure 시스템과의 통합 지점이 포함되지 않았습니다." 따라서 잘못 정렬된 코드 행이 없었습니다.

 A 트위터 사용자 Daniel Von Fange도 "대량의 '긴급 철수'를 요청한 후 코드가 이를 방지하기 위한 올바른 검사를 수행하지 않았습니다. "라고 공격이 어떻게 발생했는지 설명했습니다.

44시간 동안 진행된 Platypus 해킹에서 공격자는 42만 달러를 예치하고 XNUMX만 달러를 빌린 다음 EmergencyWithdraw()를 사용하여 공격자에게 원래 예치된 자금 전체를 기꺼이 돌려주었습니다. pic.twitter.com/QncRrRYg8j

— 다니엘 폰 판게(@danielvf) ２０２４년 ２월 ２７일

플래시 대출 공격은 회사의 스마트 계약 보안을 악용하는 위협 행위자가 사용하는 일반적인 피싱 기술입니다. 이 작업이 완료되면 공격자는 담보나 담보 없이 거액의 돈을 빌리기 시작합니다. 한 거래소에서 암호화폐 자산을 조작한 후 다른 거래소에서 판매를 진행하여 가격 조작으로 이익을 얻습니다.

USP는 출시된 지 10일밖에 되지 않았습니다.

특히 Platypus의 스테이블코인 USP는 출시된 지 열흘밖에 되지 않은 새로 출시된 프로젝트였습니다. 스테이블 코인은 6년 2023월 16일에 데뷔했고 익스플로러는 8.5월 XNUMX일에 공격하여 거의 XNUMX만 달러를 훔쳤습니다.

USP는 스테이블 코인으로 설계되었으며 미국 달러에 직접 '고정'되었습니다. 이것은 XNUMX USD가 XNUMX 오리너구리 USD와 동일하다는 것을 의미합니다.

자세히보기 :

Fight Out (FGHT) – 프로젝트를 획득하기 위한 최신 움직임

• CertiK 감사 및 CoinSniper KYC 인증
• 초기 단계 사전 판매 지금 라이브
• 무료 암호화폐 획득 및 피트니스 목표 달성
• LBank 연구소 프로젝트
• Transak, Block Media와 제휴
• 스테이킹 보상 및 보너스