Les attaques sont fréquentes dans l’industrie cryptos. Platypus Finance est l’une des dernières plateformes à être victime d’un tel fait. Selon la société de sécurité blockchain CertiK, le protocole de finance décentralisée (DeFi) a subi une attaque par flash loan jeudi dernier.
La perte potentielle liée à l’attaque équivaut à plus de 8,5 millions de dollars. Une nouvelle qui a immédiatement déstabilisé le stablecoin du protocole, Platypus USD (USP).
L’auteur de l’attaque ?
C’est dans un tweet que l’entreprise de sécurité CertiK a signalé l’attaque par flash loan ayant eu lieu sur la plateforme DeFi de Platypus Finance. Sa publication s’accompagnait aussi de l’adresse du contrat de l’attaquant présumé.
We are seeing a #flashloan attack on @Platypusdefi resulting in a potential loss of ~$8.5M.
Tx AVAX: 0x1266a937c2ccd970e5d7929021eed3ec593a95c68a99b4920c2efa226679b430
Stay Frosty! pic.twitter.com/AM2HOM5M2r
— CertiK Alert (@CertiKAlert) February 16, 2023
Aussi, un suspect potentiel aurait déjà été identifié seulement quelques heures après l’attaque qui a vu 8,5 millions de dollars drainés du protocole.
La nouvelle a provoqué une certaine panique et entraîné la perte d’ancrage (depeg) du stablecoin Platypus USD du dollar américain. Il aurait chuté de 52,1 % pour passer de 1 $ à 0,478 $.
Dear Community,
We regret to inform you that our protocol was hacked recently, and the attacker took advantage of a flaw in our USP solvency check mechanism. They used a flashloan to exploit a logic error in the USP solvency check mechanism in the contract holding the collateral.— Platypus ? (?+?+?) (@Platypusdefi) February 17, 2023
Platypus a ensuite pris la parole sur le réseau social Twitter pour confirmer la situation. Dans le même temps, l’un des modérateurs du groupe Telegram de Platypus a également confirmé que la plateforme reposant sur Avalanche avait interrompu ses échanges.
L’investissement en crypto-monnaies est proposé par eToro (Europe) Ltd en tant que PSAN, enregistré auprès de l’AMF. Les crypto-monnaies sont très volatiles. Pas de protection des consommateurs.
Une perte de 8,5 millions de dollars
Bien que les responsables de Platypus aient confirmé que la plateforme a effectivement perdu près de 8,5 millions de dollars de son pool principal, selon leurs dernières déclarations, les dépôts des clients étaient couverts à 85 % et leurs autres pools n’ont pas subi l’attaque.
De plus, la société a aussi pris contact avec le hacker pour négocier une prime visant à favoriser le retour des fonds. En outre, la compagnie Tether Holdings a gelé l’ensemble des USDT volés, tandis que Platypus a contacté les plateformes d’échange Circle et Binance pour initier le gel des autres tokens volés.
Depuis son compte Twitter ZachXBT, le “limier de la blockchain”, très célèbre pour ses opérations d’investigation de fraudes en crypto a dénoncé un autre compte Twitter @retlqw comme étant impliqué dans l’attaque. Pour lui, ce compte, désormais supprimé se retrouve mêlé à plusieurs des adresses identifiées par Platypus.
Hi @retlqw since you deactivated your account after I messaged you.
I've traced addresses back to your account from the @Platypusdefi exploit and I am in touch with their team and exchanges.
We’d like to negotiate returning of the funds before we engage with law enforcement. pic.twitter.com/oJdAc9IIkD
— ZachXBT (@zachxbt) February 17, 2023
Dans un de ses derniers tweets, il affirme être en contact avec les équipes de Platypus et d’autres plateformes dans le but de communiquer avec l’auteur du délit. La priorité serait d’abord de négocier le retour des fonds avant de solliciter les forces de l’ordre.
Explication du flash loan
Le flash loan est un type d’emprunt non garanti très populaire sur les protocoles de prêt de la finance décentralisée (DeFi). Il s’utilise majoritairement par les traders qui souhaitent profiter rapidement d’opportunités d’arbitrage. Cependant, certains investisseurs préfèrent se servir des flash loans pour déstabiliser et drainer les actifs numériques des protocoles DeFi.
L’un de ses plus fameux usages est lié à l’affaire Avi Eisenberg. Ce dernier aurait prétendument manipulé le prix du token MNGO de Mango Markets en octobre 2022. Pour lui, chacune des actions et opérations qu’il entreprenait étaient des actions légales sur le marché.
Des arguments qui n’ont toutefois pas empêché les forces de l’ordre de l’arrêter le 28 décembre dernier pour des faits de fraude.
Source : Twitter CertiK / Twitter Platypus
Sur le même sujet : les attaques sont un fléau dans l’industrie des crypto-monnaies quand bien même la sécurité est présente, ces nouvelles technologies restent vulnérables aux hackers comme on a pu le voir encore récemment avec Bitkeep.