法國世界報報導,今年 2 月遭閃電貸攻擊的 Avalanche 上自動做市商 (AMM) 協議 Platypu
這篇文章 Platypus駭客盜850萬鎂遭無罪釋放:使用有瑕疵的智能合約並不構成詐欺 最早出現於 鏈新聞 ABMedia。
法國世界報報導,今年 2 月遭閃電貸攻擊的 Avalanche 上自動做市商 (AMM) 協議 Platypus Finance,造成約 850 萬美元的損失,兩名駭客在幾天後隨即被逮補。在近日,法國當局已撤銷對其的刑事指控,稱使用有瑕疵的智能合約並不構成詐欺。
(穩定幣兌換協議 Platypus 遭閃電貸攻擊,損失 850 萬美元)
Platypus 駭客被捕,自稱「道德駭客」
今年 2 月 16 日,基於 Avalanche 的穩定幣兌幣協議 Platypus 遭到閃電貸攻擊,駭客透過其穩定幣 Platypus USD ($USP) 抵押品合約中的代碼錯誤,成功盜取了約 850 萬美元。
We are seeing a #flashloan attack on @Platypusdefi resulting in a potential loss of ~$8.5M.
Tx AVAX: 0x1266a937c2ccd970e5d7929021eed3ec593a95c68a99b4920c2efa226679b430
Stay Frosty! pic.twitter.com/AM2HOM5M2r
— CertiK Alert (@CertiKAlert) February 16, 2023
幾天後,受惠於鏈上偵探 ZachXBT 及交易所幣安的資金追蹤能力,法國當局順利逮捕了攻擊者兩兄弟 Mohammed 與 Benamar M.。前者被指控接收贓款,後者則被指控犯有非法進入並存取自動資料處理系統、欺詐及洗錢罪,檢方尋求判處兩人 5 年的有期徒刑。
然而,據 Benamar M. 於 10 月在法庭上的說詞,他承認該行為上的事實,但辯稱自己是一名「道德駭客 (ethical hacker)」,表示該行為是出於善意:
我抽走這筆資金的目的是為了稍後歸還給該協議,並獲得總金額的 10% 作為漏洞獎金。
據悉,Benamar M. 在攻擊過程中失誤地鎖定了數百萬美元的被盜資金,最終實際僅盜走了 26.3 萬美元。另一方面,Platypus 也透過安全公司 BlockSec 成功收回了 240 萬美元的 $USDC。
法官:使用有缺陷的智能合約不構成詐欺
法國法院對該案的判決指出,由於 Benamar M. 存取的是公開可用的智能合約,因此「未經授權進入資料處理系統」的指控並不適用。
此外,法院也認為其成功利用存在代碼錯誤的 Platypus「緊急提款 (emergency withdrawal)」合約的行為,本身並不構成詐欺罪:
智能合約的設計本身存在漏洞,因此被告的行為不符合詐欺的法律定義;即便 Benamar M. 的行為的確利用了該漏洞,但在法律上並不能被視為詐欺。
於此,法院判定兩名被告無罪,且由於有關詐欺罪的指控不成立,法院也同時撤銷了與洗錢及接受贓款相關的指控。
不過,儘管上述刑事控訴遭到駁回,但法官同時表示,Platypus 仍然可以在民事法庭上起訴兩名駭客。
Platypus 合約漏洞利用事件頻傳?
據了解,該協議在今年 10 月也發生過 sAVAX-AVAX 流動性池遭漏洞利用的事件,造成約 220 萬枚 $AVAX 的損失。
即便最終仍收回了 90% 以上被盜資產,但社群也對其協議的安全性表達擔憂:
這並不是你的協議第一次發生安全事件,然而關於如何補償受害者損失,你們似乎不曾採取任何行動。
這篇文章 Platypus駭客盜850萬鎂遭無罪釋放:使用有瑕疵的智能合約並不構成詐欺 最早出現於 鏈新聞 ABMedia。
