Avalanche Flash Loan Heist Nets 8,75 millions de dollars de Platypus Defi
Le 17 février 2023, le projet PlatypusDefi a subi une attaque dévastatrice via des prêts flash sur le réseau blockchain Avalanche (AVAX). L’attaque a entraîné des pertes d’environ 9 millions de dollars d’actifs.
Les prêts flash sont une transaction de financement décentralisé (DeFi) qui permet à un utilisateur d’emprunter un grand nombre de fonds sans aucune garantie tant que les fonds sont restitués dans un seul bloc de transaction.
Le scoop sur les vulnérabilités du projet Platypus
Une enquête plus approfondie sur l’attaque contre le projet Platypus a révélé que la vulnérabilité réside dans l’authentification par la fonction emergencyWithdraw de l’accord MasterPlatypusV4. En particulier, la fonction ne dysfonctionne que si les fonds prêtés dépassent le plafond de prêt, ce qui permet à l’attaquant de contourner les mesures de sécurité du contrat.
Selon les rapports, l’intrus a déposé 44 millions USDC sur la plate-forme Platypus (LP-USDC) et a gagné 44 millions LP-USD en retour. Le pirate a ensuite transféré les actifs gagnés à l’accord MasterPlatypusV4 et a utilisé la méthode emprunter () pour générer 41,79 millions d’USP dans le contrat PlatypusTreasure. Il s’agit du montant maximal autorisé par la limite d’emprunt, qui est fixée à 95 % de la garantie de l’utilisateur.
L’attaquant a ensuite manipulé les pools de liquidités et extrait une quantité considérable de liquidités du projet en utilisant l’USP fraîchement émis. Bien que la grande majorité des actifs volés se trouvent toujours à l’adresse contractuelle de l’attaquant, certains ont été transférés vers un compte externe (EOA) et un pool AAVE.
À la suite de l’attaque, le stablecoin Platypus USD a été détaché du dollar américain, chutant de 52,2 % à 0,478 $ au moment de la publication.
Le détective de Twitter, ZachXBT, découvre des indices pour identifier le pirate informatique
Malgré la désactivation de son compte après avoir reçu un message ce qui a conduit à son adresse ENS retlqw.eth.
De plus ce qui soulève des soupçons quant à leur implication dans l’attaque.
En résumé, l’équipe de PlatypusDefi a également réagi rapidement à l’assaut. De plus, pour récupérer l’argent pris et appréhender l’auteur, ils ont également informé les autorités compétentes et collaborent étroitement avec elles.
