A Platypus USD (USP) csütörtökön elvesztette dollárparitását egy nyilvánvaló kizsákmányolás következtében, amely lehetővé tette, hogy a pénztárca körülbelül 8.5 millió dollárt szippantson ki a token likviditási készletéből, néhány héttel azután, hogy a Platypus DeFi kibocsátotta a stabil érmét.
A feltételezett feltörést egy flash kölcsön kihasználásával valósították meg, amelynek során a támadó hatalmas kölcsönt vesz fel, és ugyanabban a blokkban rendezi, és olyan tranzakciókat szendvicsít, amelyek a tőkét más protokollok kihasználására használják fel. A Platypus csere funkció a hálózaton a támadás óta le van tiltva.
„Flash-kölcsöntámadás történt az USP ellen” – figyelmezteti a felhasználókat egy rögzített üzenet a Platypus Telegram hivatalos csatornáján. „Jelenleg igyekszünk felmérni a helyzetet, és haladéktalanul kommunikálni fogunk róla. Egyelőre minden művelet szünetel, amíg tisztább nem leszünk.”
Úgy tűnik, hogy az állítólagos támadó 44 millió dolláros gyorskölcsönt vett fel az Aave V3-tól, és 41 millió US Platypus tokent vert. Ezután a támadó mintegy 8.5 millió dollárt fizetett ki más stabil érmékbe, és visszafizette a gyorskölcsönt. Ezek a műveletek mind ugyanabban a tranzakciós blokkban, a láncon belül történtek dátum show.
"A sebezhetőség a MasterPlatypusV4 szerződés vészhelyzet visszavonása funkciójának fizetőképességének ellenőrzésében rejlik" - mondta a web3 biztonsági cég, a Certik a The Blocknak.
„A fizetőképességi ellenőrzés nem veszi figyelembe a felhasználó tartozásának értékét. Csak azt ellenőrzi, hogy az adósság összege elérte-e a maximális korlátot” – mondta Certik. „Miután a fizetőképességi ellenőrzés sikeres, a szerződés lehetővé teszi a felhasználó számára, hogy az összes letétbe helyezett eszközt kivegye.”
A támadó címének kölcsönzési előzményei.
Mivel a pool likviditása elfogyott az előző blokkban, a maradék 33 millió token a támadó pénztárcájában található, és nem lehet vele kereskedni.
Az USP 0.47 dollár körül mozog, miután valamivel több mint 52%-ot esett.
Diagramadatok a CoinGecko-tól.
A PlatypusDefi nem válaszolt azonnal a The Block megjegyzéskérésére.
Forrás: https://www.theblock.co/post/212711/flash-loan-exploit-appears-to-be-behind-platypus-usd-stablecoin-attack?utm_source=rss&utm_medium=rss