Platypus USD (USP) ztratil ve čtvrtek svou dolarovou paritu po zjevném zneužití, které umožnilo peněžence vysát asi 8.5 milionu dolarů z likviditních fondů tokenu, jen několik týdnů poté, co Platypus DeFi vydal stablecoin.
Předpokládaný hack byl proveden pomocí využití flash úvěru, během kterého si útočník vezme obrovskou půjčku a usadí ji ve stejném bloku, čímž se vloží transakce, které využívají kapitál ke zneužití jiných protokolů mezi tím. Funkce Platypus swap v síti byla od útoku deaktivována.
„Došlo k útoku flash-půjčkou na USP,“ varuje uživatele připnutá zpráva na oficiálním kanálu Platypus Telegram. „V současné době se snažíme vyhodnotit situaci a budeme o ní neprodleně komunikovat. Prozatím jsou všechny operace pozastaveny, dokud nebudeme mít více jasno."
Zdá se, že údajný útočník si vzal bleskovou půjčku ve výši 44 milionů dolarů od Aave V3 a obratem vyrazil asi 41 milionů amerických tokenů Platypus. Dále útočník vydělal asi 8.5 milionu dolarů do jiných stablecoinů a splatil bleskovou půjčku. Všechny tyto akce proběhly ve stejném bloku transakcí, na řetězci datum výstava.
"Chyba zabezpečení spočívá v kontrole solventnosti ve funkci nouzového stažení smlouvy MasterPlatypusV4," uvedla bezpečnostní firma web3 Certik pro The Block.
„Kontrola solventnosti nebere v úvahu hodnotu dluhu uživatele. Pouze kontroluje, zda výše dluhu dosáhla maximálního limitu,“ uvedl Čertík. "Po proběhnutí kontroly solventnosti smlouva umožňuje uživateli vybrat všechna uložená aktiva."
Historie výpůjček adresy útočníka.
Po vyčerpání likvidity fondu v předchozím bloku zůstává zbývajících 33 milionů tokenů v peněžence útočníka a nelze s nimi obchodovat.
USP se nyní obchoduje kolem 0.47 USD poté, co klesl o něco málo přes 52 %.
Grafová data z CoinGecko.
PlatypusDefi okamžitě neodpověděl na žádost o komentář od The Block.
Zdroj: https://www.theblock.co/post/212711/flash-loan-exploit-appears-to-be-behind-platypus-usd-stablecoin-attack?utm_source=rss&utm_medium=rss