Platypus, le protocole DeFi ayant annoncé un hack de son système le 16 février, travaille actuellement sur un projet de compensation des victimes du pirate. Plusieurs acteurs sont impliqués dans ce processus de restitution des fonds, notamment les responsables de l’application des lois.
8,5 millions de dollars à compenser
Le plan de compensation de Platypus est destiné aux utilisateurs ayant subi une perte à la suite de l’attaque de prêt flash survenue récemment. Les 8,5 millions de dollars dérobés ont également affecté son stablecoin natif.
La société a annoncé cette initiative dans un tweet du 18 février en exhortant ses utilisateurs de ne pas réaliser leurs pertes afin de faciliter le travail de leur équipe. De plus, le protocole suspend les liquidations d’actifs jusqu’à nouvel ordre.
2/ We are working on a plan to compensate the losses, please DO NOT repay your USP and realize the losses. It would be easier for us to manage the damage. Also, you don’t have to worry about liquidation as liquidation is paused, stability fee after the attack will not be counted
— Platypus ? (?+?+?) (@Platypusdefi) February 18, 2023
Platypus rassure toutefois ses utilisateurs en insistant sur le fait que les détails sur les prochaines étapes de récupération des fonds seront communiqués ultérieurement. Pendant ce temps, une partie du montant demeure bloquée dans le protocole Aave.
De ce fait, l’approbation du forum de gouvernance d’Aave est indispensable pour la suite des opérations. Du moins, c’est ce qui ressort de la méthode utilisée par Platypus pour récupérer les fonds.
Les circonstances de l’attaque de prêt flash ont été révélées pour la première fois par un tweet de Certik. En effet, la société de sécurité blockchain a dévoilé l’adresse contractuelle présumée du pirate. Les déclarations de CertiK sont sans équivoque :
L’attaquant a utilisé un prêt éclair pour exploiter une erreur logique dans le mécanisme de contrôle de solvabilité USP dans le contrat détenant la garantie.
À l’heure actuelle, la société de sécurité a un potentiel suspect dans sa ligne de mire. Le détournement des 8,5 millions de dollars de Platypus n’a pas épargné son stablecoin Platypus USD (USP).
En effet, le jeton a affiché une chute de 0,33 $ 48 heures après les faits, sachant que USP s’est détaché du dollar américain.
L’investissement en crypto-monnaies est proposé par eToro (Europe) Ltd en tant que PSAN, enregistré auprès de l’AMF. Les crypto-monnaies sont très volatiles. Pas de protection des consommateurs.
Une attaque qui aurait pu être évitée
Omniscia , une société d’audit a révélé la source du hack de Platypus à la suite d’une analyse technique post-mortem. Il en ressort qu’un code mal placé aurait favorisé le hack des 8,5 millions de dollars. Le rapport de l’audit d’Omniscia indique :
Le contrat Platypus Master Platypus V4 contenait une idée fausse fatale dans son mécanisme de retrait d’urgence. Ce qui l’obligeait à effectuer son contrôle de solvabilité avant de mettre à jour les jetons LP associés à la position de participation.
Pour rappel, la société a réalisé un audit d’une version du contrat Master Platypus V1 de fin novembre au début de décembre 2021. À l’époque, cette version du code “ne contenait aucun point d’intégration avec un système platypus Treasure externe“, donc pas de lignes de code dans le mauvais ordre.
Les lignes de code mal ordonnées ont permis au pirate d’exécuter un contrôle de solvabilité avant que la dette de récompense, le facteur et le montant de l’utilisateur ne soient réinitialisés.
? In light of the recent @Platypusdefi incident the https://t.co/30PzcoIJnt team has prepared a technical post-mortem analysis describing how the exploit unravelled in great details.
? Be sure to follow @Omniscia_sec to receive more security updates!https://t.co/cf784QtKPK pic.twitter.com/egHyoYaBhn
— Omniscia (@Omniscia_sec) February 17, 2023
Cependant, le rapport insistait sur le fait que le code de la fonction emergency Withdraw disposait de tous les éléments nécessaires pour empêcher un hack de cette nature. La problématique provenait simplement de l’écriture mal ordonnée de ces éléments.
Le problème aurait pu être évité en réordonnant les instructions Master Platypus V4 : emergency withdraw et en effectuant le contrôle de solvabilité après que l’entrée du montant de l’utilisateur ait été définie sur 0, ce qui aurait empêché l’attaque.
L’investissement en crypto-monnaies est proposé par eToro (Europe) Ltd en tant que PSAN, enregistré auprès de l’AMF. Les crypto-monnaies sont très volatiles. Pas de protection des consommateurs.
Source : CoinTelegraph
Sur le même sujet : Le DEX Orion Protocol hacké pour 3 millions de dollars
Gilles Nzunga
