Platypus USD (USP) stracił parytet dolarowy w czwartek po oczywistym exploicie, który pozwolił portfelowi wyprowadzić około 8.5 miliona dolarów z puli płynności tokena, zaledwie kilka tygodni po tym, jak Platypus DeFi wyemitował stablecoina.
Domniemane włamanie zostało dokonane za pomocą exploita pożyczki błyskawicznej, podczas którego osoba atakująca zaciąga ogromną pożyczkę i rozlicza ją w tym samym bloku, łącząc pomiędzy nimi transakcje wykorzystujące kapitał do wykorzystania innych protokołów. Funkcja zamiany Platypus w sieci została wyłączona od czasu ataku.
„Doszło do ataku typu flash-pożyczka na USP”, przypięta wiadomość na oficjalnym kanale Platypus Telegram ostrzega użytkowników. „Obecnie próbujemy ocenić sytuację i niezwłocznie się z nią skontaktujemy. Na razie wszystkie operacje są wstrzymane, dopóki nie uzyskamy większej jasności”.
Wydaje się, że domniemany atakujący wziął pożyczkę błyskawiczną w wysokości 44 milionów dolarów od Aave V3, a następnie wybił około 41 milionów tokenów US Platypus. Następnie atakujący wypłacił około 8.5 miliona dolarów na inne stablecoiny i spłacił pożyczkę błyskawiczną. Wszystkie te działania miały miejsce w tym samym bloku transakcji, on-chain dane pokaz.
„Luka w zabezpieczeniach polega na sprawdzaniu wypłacalności w funkcji EmergencyWithdraw umowy MasterPlatypusV4” — powiedziała firmie Certik zajmującej się bezpieczeństwem web3.
„Weryfikacja wypłacalności nie uwzględnia wartości długu użytkownika. Sprawdza tylko, czy kwota zadłużenia osiągnęła maksymalny limit” – powiedział Certik. „Po przejściu kontroli wypłacalności umowa umożliwia użytkownikowi wycofanie wszystkich zdeponowanych aktywów”.
Historia wypożyczeń adresu atakującego.
Ponieważ płynność puli została wyczerpana w poprzednim bloku, pozostałe 33 miliony tokenów znajdują się w portfelu atakującego i nie można nimi handlować.
USP kosztuje obecnie około 0.47 USD po spadku o nieco ponad 52%.
Dane wykresu z CoinGecko.
PlatypusDefi nie odpowiedział od razu na prośbę The Block o komentarz.
Źródło: https://www.theblock.co/post/212711/flash-loan-exploit-appears-to-be-behind-platypus-usd-stablecoin-attack?utm_source=rss&utm_medium=rss