Здаецца, за атакай стейблкойна Platypus USD стаіць эксплойт флэш-пазыкі

Platypus USD (USP) страціў свой даляравы парытэт у чацвер пасля відавочнага эксплойту, які дазволіў кашальку выцягнуць каля 8.5 мільёна долараў з пулаў ліквіднасці токена, усяго праз некалькі тыдняў пасля таго, як Platypus DeFi выпусціў стейблкойн.

Меркаваны ўзлом быў здзейснены з дапамогай эксплойта флэш-пазыкі, падчас якой зламыснік бярэ велізарную пазыку і разлічваецца ў тым жа блоку, размяшчаючы транзакцыі, якія выкарыстоўваюць капітал для выкарыстання іншых пратаколаў паміж імі. Функцыя падмены Platypus у сетцы была адключаная пасля атакі. 

«Адбылася атака флэш-пазыкі на USP», — папярэджвае карыстальнікаў замацаванае паведамленне на афіцыйным Telegram-канале Platypus. «Цяпер мы спрабуем ацаніць сітуацыю і будзем аператыўна паведамляць пра гэта. На дадзены момант усе аперацыі прыпыненыя, пакуль мы не атрымаем большай яснасці».

Меркаваны зламыснік, падобна, узяў флэш-пазыку ў памеры 44 мільёнаў долараў у Aave V3 і, у сваю чаргу, адчаканіў каля 41 мільёна амерыканскіх токенаў Platypus. Затым зламыснік абнаявіў каля 8.5 мільёна долараў у іншыя стейблкойны і вярнуў флэш-пазыку. Усе гэтыя дзеянні адбываліся ў адным блоку транзакцый у ланцужку gegevens шоў.

«Уразлівасць заключаецца ў праверцы плацежаздольнасці ў функцыі EmergencyWithdraw кантракта MasterPlatypusV4», — паведаміла The Block фірма бяспекі web3 Certik.

«Праверка плацежаздольнасці не ўлічвае кошт запазычанасці карыстальніка. Ён толькі правярае, ці дасягнула сума доўгу максімальнага ліміту», — сказаў Серцік. «Пасля праходжання праверкі плацежаздольнасці кантракт дазваляе карыстальніку зняць усе дэпанаваныя актывы».

Гісторыя запазычанняў адраса зламысніка.

Калі ліквіднасць пула была вычарпана ў папярэднім блоку, астатнія 33 мільёны токенаў знаходзяцца ў кашальку зламысніка, і імі нельга гандляваць.

Цяпер USP гандлюецца каля $0.47 пасля падзення крыху больш чым на 52%.

Дадзеныя дыяграмы з CoinGecko.

PlatypusDefi не адразу адказаў на запыт каментарыяў The Block.