カモノハシ

ChainCatcher のメッセージによると、フランスの《世界報》（Le Mode）によれば、Avalanche チェーン上のステーブルコイン取引プロジェクト Platypus の二人のハッカーが裁判所によって無罪放免された。この二人のハッカー Mohammed M. と Benamar M. は約 850 万ドルを盗んだとされ、フランス当局は Mohammed に対して偽造防止および自動データ処理システムの維持、詐欺およびマネーロンダリングの罪を、Benamar には盗まれた資産を受け取った罪を指摘した。しかし、Mohammed は自らを「倫理的ハッカー」と主張し、「Platypus プラットフォームから資金を回収し、後で返還する」ことを望み、会社から支払われる「総額の 10%」のボーナスを希望したため、その後無罪放免された。以前、CertiK の監視によれば、Avalanche 上のプロジェクト Platypus のステーブルコイン Platypus USD がフラッシュローン攻撃を受け、総額約 900 万ドルの資産が損失した。

ChainCatcher のメッセージによると、ステーブルコイン取引プロジェクト Platypus Finance は、ソーシャルメディアで開発チームが今回の事件の脆弱性の根本原因を特定するための調査を行っていると発表しました。安全のため、マイニングプールは根本的な問題が発見され修正されるまで停止したままとなり、プラットフォームは別の監査を受ける予定です。今回の調査の継続期間は不確定であるため、Platypus Finance はすべての既存の LP に対して返金を手配する予定であり、詳細な引き出しの説明は今後数日以内にコミュニティと共有される予定です。また、Platypus は現在、ハッカーと連絡を取り、交渉を開始しようとしています。

ChainCatcher のメッセージによると、ステーブルコイン取引プラットフォーム Platypus は X に投稿し、10 月 12 日の攻撃により sAVAX-AVAX プールが約 220 万ドルの損失を被ったと報告しています。セキュリティプラットフォーム Supremacy の助けを借りて、脆弱性を悪用した者の一人から約 50,000 枚の sAVAX と 7,000 枚の AVAX を無事に回収しました。チームはセキュリティ専門家と密接に協力し、脆弱性の特定と修正に取り組んでいます。これらの問題が完全に解決され、安全対策が強化されるまで、Platypus は資金プールを再起動しません。

ChainCatcher のメッセージ、セキュリティチームの SlowMist が Twitter で、Avalanche チェーン上のステーブルコイン取引プロジェクト Platypus が再度攻撃を受けたと述べています。CoverageAratio を通じてトークンを交換する際に、2 つのプール間の価格差を考慮しなかったため、ユーザーは USDC を預け入れた後により多くの USDT を引き出すことでアービトラージを行うことができました。アービトラージャーはこの方法で約 50000 枚の USDC をアービトラージしました。

ChainCatcher のメッセージ、Avalanche エコシステムの StableSwap プロジェクト Platypus は、ユーザー損失補償プランを策定中であり、ユーザーに対して安定コイン USP の返済をしないように警告しています。また、清算は一時停止されており、ユーザーは清算問題を心配する必要はありません。Platypus は、一部の資金が AAVE に閉じ込められていることも述べており、その資金を回収する方法を模索しています。これは AAVE ガバナンスフォーラムで提案され、回復提案が通過する必要があります。ChainCatcher は以前、2 月 17 日に Platypus がネイティブ安定コイン USP がハッキングされたと発表し、包括的な回復計画を策定中であり、コミュニティに最新情報を適時通知すると報じました。(出典リンク)

ChainCatcher のメッセージによると、SlowMist の創設者である余弦は、Platypus が今日盗まれた850万ドルについて、ソーシャルメディアで発表しました。攻撃契約を逆コンパイルした結果、攻撃者は契約内に出金機能を実装していないことが判明し、攻撃による利益を引き出すことができず、850万ドルが攻撃契約内に封印されているとのことです。また、CoinGecko のデータによると、USP（Platypus USD）は現在0.479ドルにペッグされています。（出典リンク）

ChainCatcher のメッセージによると、ブロックチェーンセキュリティ監査会社 Beosin の Beosin EagleEye セキュリティリスク監視、警告および阻止プラットフォームの監視によれば、Avalanche チェーン上の Platypus プロジェクトの契約がフラッシュローン攻撃を受けました。Beosin セキュリティチームの分析によると、攻撃者はまずフラッシュローンで 4400 万 USDC を借りた後、Platypus Finance 契約の deposit 関数を呼び出してステーキングを行いました。この関数は攻撃者に等量の LP-USDC を鋳造します。その後、攻撃者はすべての LP-USDC を MasterPlatypusV4 契約の 4 番プールにステーキングし、positionView 関数を呼び出して _borrowLimitUSP 関数を利用して借入可能残高を計算しました。_borrowLimitUSP 関数は、攻撃者が MasterPlatypusV4 にステーキングした資産の価値のパーセンテージを借入上限として返します。この返り値を利用して borrow 関数を通じて大量の USP（利益ポイント）を鋳造しました。攻撃者自身が LP-USDC を利用して借り入れた大量の債務（USP）を抱えているため、通常の論理では担保を引き出すことはできないはずですが、MasterPlatypusV4 契約の emergencyWithdraw 関数のチェックメカニズムに問題があり、ユーザーの借入額がそのユーザーの borrowLimitUSP（借入上限）を超えているかどうかのみを検査し、ユーザーが債務を返済しているかどうかを確認していなかったため、攻撃者は担保（4400 万 LP-USDC）を成功裏に引き出しました。4400 万 USDC のフラッシュローンを返済した後、攻撃者は 41,794,533 USP を残し、その後攻撃者は利益を得た USP を 8,522,926 ドル相当のさまざまなステーブルコインに交換しました。