Platypus, la empresa de finanzas descentralizadas (DeFi), está trabajando en un plan de compensación por las pérdidas de los usuarios después de que un ataque de préstamo relámpago drenó casi USD 8,5 millones del protocolo, lo que afectó su paridad con el dólar de la moneda estable.
En un tuit del 18 de febrero, Platypus reveló que estaba trabajando en un plan para compensar los daños y pidió a los usuarios que no se dieran cuenta de sus pérdidas en el protocolo, diciendo que esto dificultaría que la empresa manejara el problema. La liquidación de activos también está en pausa, dijo el protocolo:
2/ Estamos trabajando en un plan para compensar las pérdidas, NO pague su USP y realice las pérdidas. Sería más fácil para nosotros manejar el daño. Además, no tiene que preocuparse por la liquidación ya que la liquidación está en pausa, no se contará la tarifa de estabilidad después del ataque.
— Ornitorrinco (++) (@Platypusdefi) 18 de febrero de 2023
Según la firma, actualmente hay diferentes partes involucradas en el proceso de recuperación de los fondos, incluidos los funcionarios encargados de hacer cumplir la ley. Próximamente se darán a conocer más detalles sobre los próximos pasos, señaló Platypus.
Parte de los fondos están bloqueados en el protocolo Aave. Platypus está explorando un método para recuperar potencialmente los fondos, lo que requeriría la aprobación de una propuesta de recuperación en el foro de gobierno de Aave.
La firma de seguridad de blockchain CertiK informó por primera vez el ataque de préstamo flash en la plataforma a través de un tweet el 16 de febrero, junto con la dirección del contrato del presunto atacante. Casi $ 8,5 millones se movieron del protocolo y, como resultado, la moneda estable Platypus USD se desvinculó del dólar estadounidense, cayendo a $ 0,33 en el momento de escribir este artículo.
“El atacante usó un préstamo flash para explotar un error lógico en el mecanismo de verificación de solvencia de la USP en el contrato que tiene la garantía”, dijo la compañía. Se ha identificado a un posible sospechoso.
Un análisis técnico post-mortem realizado por la empresa de auditoría Omniscia reveló que el ataque fue posible gracias a un código colocado incorrectamente después de la auditoría. Omniscia auditó una versión del contrato MasterPlatypusV1 del 21 de noviembre al 5 de diciembre de 2021. Sin embargo, la versión “no contenía puntos de integración con un sistema externo ornitorrincoTreasure” y, por lo tanto, no contenía las líneas de código desordenadas.
El ataque de préstamo flash explota la seguridad del contrato inteligente de una plataforma para pedir prestado grandes cantidades de dinero sin garantía. Una vez que un activo de criptomoneda ha sido manipulado en un intercambio, se vende rápidamente en otro, lo que permite que el explotador se beneficie de la manipulación de precios.