Platypus USD (USP) menetti dollaripariteettinsa torstaina ilmeisen hyväksikäytön seurauksena, jonka ansiosta lompakko vei noin 8.5 miljoonaa dollaria rahakkeen likviditeettipoolista, vain viikkoja sen jälkeen, kun Platypus DeFi laski liikkeeseen vakaan kolikon.
Oletettu hakkerointi toteutettiin flash-lainan hyväksikäytöllä, jonka aikana hyökkääjä ottaa valtavan lainan ja maksaa sen samassa lohkossa, jolloin väliin jää tapahtumat, jotka käyttävät pääomaa muiden protokollien hyväksikäyttöön. Verkon Platypus-swap-toiminto on poistettu käytöstä hyökkäyksen jälkeen.
"USP:tä vastaan on tehty pikalainahyökkäys", virallisella Platypus Telegram -kanavalla oleva viesti varoittaa käyttäjiä. "Yritämme parhaillaan arvioida tilannetta ja tiedotamme siitä viipymättä. Toistaiseksi kaikki toiminnot on keskeytetty, kunnes saamme enemmän selvyyttä."
Väitetty hyökkääjä näyttää ottaneen 44 miljoonan dollarin flash-lainan Aave V3:lta ja lyöneen puolestaan noin 41 miljoonaa US Platypus-rahaketta. Seuraavaksi hyökkääjä nosti noin 8.5 miljoonaa dollaria muihin vakaisiin kolikoihin ja maksoi takaisin flash-lainan. Kaikki nämä toimet tapahtuivat samassa tapahtumalohkossa, ketjussa tiedot show.
"Haavoittuvuus piilee MasterPlatypusV4-sopimuksen hätäpoistumistoiminnon vakavaraisuuden tarkistuksessa", web3-tietoturvayritys Certik kertoi The Blockille.
”Vakavaraisuustarkastuksessa ei oteta huomioon käyttäjän velan arvoa. Se vain tarkistaa, onko velan määrä saavuttanut enimmäisrajan, Certik sanoi. "Kun vakavaraisuustarkastus on läpäissyt, sopimus antaa käyttäjälle mahdollisuuden nostaa kaikki talletetut varat."
Hyökkääjän osoitteen lainaushistoria.
Kun poolin likviditeetti tyhjennettiin edellisessä lohkossa, loput 33 miljoonaa merkkiä ovat hyökkääjän lompakossa, eikä niillä voida käydä kauppaa.
USP:n kauppa on nyt noin 0.47 dollaria pudonttuaan hieman yli 52 %.
CoinGeckon kaaviotiedot.
PlatypusDefi ei vastannut välittömästi The Blockin kommenttipyyntöön.
Lähde: https://www.theblock.co/post/212711/flash-loan-exploit-appears-to-be-behind-platypus-usd-stablecoin-attack?utm_source=rss&utm_medium=rss