Platypus USD (USP) загуби паритета си в долара в четвъртък след очевиден експлойт, който позволи на портфейл да източи около $8.5 милиона от пуловете ликвидност на токена, само седмици след като Platypus DeFi издаде стабилната монета.
Предполагаемият хак е извършен чрез експлойт на флаш заем, по време на който нападател взема огромен заем и го урежда в същия блок, като поставя транзакции, които използват капитала, за да използват други протоколи между тях. Функцията за размяна на Platypus в мрежата е деактивирана след атаката.
„Имаше атака с флаш заем срещу USP“, предупреждава потребителите в прикачено съобщение в официалния канал на Platypus Telegram. „В момента се опитваме да оценим ситуацията и ще съобщим незабавно за нея. Засега всички операции са на пауза, докато получим повече яснота.
Предполагаемият нападател изглежда е взел бърз заем от $44 милиона от Aave V3 и на свой ред е изсекъл около 41 милиона US Platypus токена. След това нападателят осребри около 8.5 милиона долара в други стабилни монети и изплати бързия заем. Всички тези действия се извършват в един и същ блок от транзакции, във веригата данни шоу.
„Уязвимостта се крие в проверката на платежоспособността във функцията EmergencyWithdraw на договора MasterPlatypusV4“, каза пред The Block фирмата за сигурност web3 Certik.
„Проверката за платежоспособност не взема предвид стойността на дълга на потребителя. Проверява само дали сумата на дълга е достигнала максималния лимит“, каза Сертик. „След като проверката за платежоспособност премине, договорът позволява на потребителя да изтегли всички депозирани активи.“
Историята на заемане на адреса на атакуващия.
Тъй като ликвидността на пула беше изтощена в предишния блок, останалите 33 милиона токена се намират в портфейла на нападателя и не могат да бъдат търгувани.
USP сега се търгува около $0.47 след спад с малко над 52%.
Данни от графиката от CoinGecko.
PlatypusDefi не отговори веднага на искане за коментар от The Block.
Източник: https://www.theblock.co/post/212711/flash-loan-exploit-appears-to-be-behind-platypus-usd-stablecoin-attack?utm_source=rss&utm_medium=rss