Die französische Polizei hat zwei Verdächtige im Zusammenhang mit dem 9,1 Mio. US-Dollar schweren Hackerangriff auf das Krypto-Projekt Platypus festgenommen und zugleich 210.000 Euro an Kryptowährungen beschlagnahmt.

Die Ermittlungen, die zu den Festnahmen geführt haben, wurden laut Platypus maßgeblich vom Krypto-Analysten ZachXBT und der Kryptobörse Binance unterstützt. Das Krypto-Projekt wurde am 16. Februar in kurzer Zeit Opfer von drei separaten Flash-Loan-Angriffen, die jeweils vom selben Angreifer durchgeführt wurden.

Durch die Attacken konnten beträchtliche Vermögen in Form von Kryptowährungen und Stablecoins von der Plattform gestohlen werden. Bereits in der ersten Attacke wurden knapp 8,5 Mio. US-Dollar geklaut, während beim zweiten Angriff versehentlich 380.000 Krypto-Tokens an einen Aave v3 Smart Contract geschickt wurden. Mit einem dritten Angriff wurden zusätzliche 287.000 US-Dollar erbeutet. In Folge der drei Attacken hat der firmeneigene Stablecoin Platypus USD (USP) zudem seine Anbindung an den US-Dollar verloren.  

Die Angreifer haben die sogenannte Flash-Loan-Methode angewendet, um einen Logikfehler im Solvency-Check Mechanismus des USP auszunutzen, wie Platypus inzwischen bestätigt hat. Ansonsten ist der Betrieb des Projekts von der Attacke unberührt geblieben.

Die Flash-Attack ist dieselbe Methode, die auch Avi Eisenberg, der Exploiter des DeFi-Projekts Mango Markets, für seinen Angriff genutzt hat. Obwohl Eisenberg damals der Ansicht war, dass diese Methode „eine völlig legale Handelsstrategie ist, die lediglich vom Design des Protokolls Gebrauch macht“, wurde der Angreifer am 28. Dezember in Puerto Rico festgenommen.

Platypus hat am 23. Februar in einem Plan bereits aufgezeigt, wie nach dem Angriff geschädigte Nutzer entschädigt werden sollen. Demnach sollen 63 % der verbleibenden Gelder im Main-Pool in den nächsten sechs Monaten ausgeschüttet werden. Zudem könnte das Re-Minting eingefrorener Stablecoins dabei helfen, bis zu 78 % aller gestohlenen Gelder zurückzuzahlen.