Le protocole de finance décentralisée (DeFi) Platypus travaille sur un plan de compensation pour les pertes des utilisateurs après qu'une attaque de prêt flash ait drainé près de 8,5 millions de dollars du protocole, affectant ainsi l'ancrage de son stablecoin au dollar.

Dans un tweet du 18 février, Platypus a révélé qu'il travaillait sur un plan de compensation des dommages, et a demandé aux utilisateurs de ne pas réaliser leurs pertes dans le protocole, affirmant que cela rendrait la gestion du problème plus difficile pour la société. La liquidation des actifs est également suspendue, selon le protocole :

2/ Nous travaillons sur un plan de compensation des pertes, veuillez NE PAS rembourser votre USP et réaliser les pertes. Il serait plus facile pour nous de gérer les dommages. De plus, vous n'avez pas à vous soucier de la liquidation car celle-ci est en pause, les frais de stabilité après l'attaque ne seront pas comptabilisés. - Platypus (++) (@Platypusdefi) 18 février 2023

Selon l'entreprise, différentes parties sont actuellement impliquées dans le processus de récupération des fonds, y compris les responsables chargés de l'application de la loi. De plus amples détails sur les prochaines étapes seront divulgués prochainement, a indiqué Platypus.

Une partie des fonds est bloquée dans le protocole Aave. Platypus étudie une méthode pour récupérer potentiellement les fonds, ce qui nécessiterait l'approbation d'une proposition de récupération par le forum de gestion d'Aave.

La société CertiK, spécialisée dans la sécurité des blockchains, a signalé pour la première fois l'attaque de prêt flash sur la plateforme par un tweet le 16 février, ainsi que l'adresse du contrat du pirate présumé. Près de 8,5 millions de dollars ont été retirés du protocole et, en conséquence, le stablecoin Platypus USD a été dissocié du dollar américain, tombant à 0,33 dollar au moment de la rédaction de cet article.

Graphique du prix de Platypus USD (USP) - 7 jours. Source : CoinGecko

« Le pirate a utilisé un prêt flash pour profiter d'une erreur logique dans le mécanisme de vérification de la solvabilité de l'USP dans le contrat contenant la garantie », a déclaré la société. Un suspect potentiel a été identifié.

Une analyse technique post-mortem menée par la société d'audit Omniscia a révélé que l'attaque a été rendue possible par un code mal placé après son audit. Omniscia a audité une version du contrat MasterPlatypusV1 du 21 novembre au 5 décembre 2021. Cependant, cette version « ne contenait aucun point d'intégration avec un système externe de platypusTreasure » et ne présentait donc pas les lignes de code mal placées.

L'attaque par prêt flash consiste à se servir de la sécurité des smart contracts d'une plateforme pour emprunter d'importantes sommes d'argent sans garantie. Une fois qu'un actif crypto a été manipulé sur un exchange, il est rapidement vendu sur un autre, ce qui permet à la personne qui opère de tirer profit de la manipulation des prix.