Platypus USD (USP) страціў свой даляравы парытэт у чацвер пасля відавочнага эксплойту, які дазволіў кашальку выцягнуць каля 8.5 мільёна долараў з пулаў ліквіднасці токена, усяго праз некалькі тыдняў пасля таго, як Platypus DeFi выпусціў стейблкойн.
Меркаваны ўзлом быў здзейснены з дапамогай эксплойта флэш-пазыкі, падчас якой зламыснік бярэ велізарную пазыку і разлічваецца ў тым жа блоку, размяшчаючы транзакцыі, якія выкарыстоўваюць капітал для выкарыстання іншых пратаколаў паміж імі. Функцыя падмены Platypus у сетцы была адключаная пасля атакі.
«Адбылася атака флэш-пазыкі на USP», — папярэджвае карыстальнікаў замацаванае паведамленне на афіцыйным Telegram-канале Platypus. «Цяпер мы спрабуем ацаніць сітуацыю і будзем аператыўна паведамляць пра гэта. На дадзены момант усе аперацыі прыпыненыя, пакуль мы не атрымаем большай яснасці».
Меркаваны зламыснік, падобна, узяў флэш-пазыку ў памеры 44 мільёнаў долараў у Aave V3 і, у сваю чаргу, адчаканіў каля 41 мільёна амерыканскіх токенаў Platypus. Затым зламыснік абнаявіў каля 8.5 мільёна долараў у іншыя стейблкойны і вярнуў флэш-пазыку. Усе гэтыя дзеянні адбываліся ў адным блоку транзакцый у ланцужку gegevens шоў.
«Уразлівасць заключаецца ў праверцы плацежаздольнасці ў функцыі EmergencyWithdraw кантракта MasterPlatypusV4», — паведаміла The Block фірма бяспекі web3 Certik.
«Праверка плацежаздольнасці не ўлічвае кошт запазычанасці карыстальніка. Ён толькі правярае, ці дасягнула сума доўгу максімальнага ліміту», — сказаў Серцік. «Пасля праходжання праверкі плацежаздольнасці кантракт дазваляе карыстальніку зняць усе дэпанаваныя актывы».
Гісторыя запазычанняў адраса зламысніка.
Калі ліквіднасць пула была вычарпана ў папярэднім блоку, астатнія 33 мільёны токенаў знаходзяцца ў кашальку зламысніка, і імі нельга гандляваць.
Цяпер USP гандлюецца каля $0.47 пасля падзення крыху больш чым на 52%.
Дадзеныя дыяграмы з CoinGecko.
PlatypusDefi не адразу адказаў на запыт каментарыяў The Block.
Крыніца: https://www.theblock.co/post/212711/flash-loan-exploit-appears-to-be-behind-platypus-usd-stablecoin-attack?utm_source=rss&utm_medium=rss