Platypus USD (USP) stratil vo štvrtok svoju dolárovú paritu po zjavnom zneužití, ktoré umožnilo peňaženke odčerpať približne 8.5 milióna dolárov zo zásob likvidity tokenu, len niekoľko týždňov po tom, čo Platypus DeFi vydal stablecoin.
Predpokladaný hack bol vykonaný pomocou bleskovej pôžičky, počas ktorej si útočník vezme obrovskú pôžičku a urovná ju v tom istom bloku, pričom vloží transakcie, ktoré využívajú kapitál na využitie iných protokolov medzi tým. Funkcia výmeny Platypus na sieti bola od útoku deaktivovaná.
„Na USP došlo k bleskovému pôžičkovému útoku,“ varuje používateľov pripnutá správa na oficiálnom kanáli Platypus Telegram. „Momentálne sa snažíme vyhodnotiť situáciu a budeme o nej okamžite komunikovať. Zatiaľ sú všetky operácie pozastavené, kým nebudeme mať jasnejšie."
Zdá sa, že údajný útočník si vzal bleskovú pôžičku vo výške 44 miliónov dolárov od Aave V3 a následne vytlačil približne 41 miliónov amerických platypusových tokenov. Ďalej útočník vyplatil približne 8.5 milióna dolárov do iných stablecoinov a splatil bleskovú pôžičku. Všetky tieto akcie sa uskutočnili v rovnakom bloku transakcií v reťazci data výstava.
„Zraniteľnosť spočíva v kontrole solventnosti vo funkcii núdzového odstúpenia od zmluvy MasterPlatypusV4,“ povedala pre The Block bezpečnostná firma web3 Certik.
„Kontrola solventnosti neberie do úvahy hodnotu dlhu užívateľa. Kontroluje len, či výška dlhu dosiahla maximálnu hranicu,“ povedal Čertik. "Po prejdení kontroly solventnosti zmluva umožňuje užívateľovi vybrať všetky uložené aktíva."
História výpožičiek adresy útočníka.
Po vyčerpaní likvidity poolu v predchádzajúcom bloku zostáva zvyšných 33 miliónov tokenov v peňaženke útočníka a nie je možné s nimi obchodovať.
USP sa teraz obchoduje okolo 0.47 USD po poklese o niečo viac ako 52 %.
Údaje grafu z CoinGecko.
PlatypusDefi okamžite neodpovedal na žiadosť o komentár od The Block.
Zdroj: https://www.theblock.co/post/212711/flash-loan-exploit-appears-to-be-behind-platypus-usd-stablecoin-attack?utm_source=rss&utm_medium=rss