Platypus USD (USP) ketvirtadienį prarado savo dolerio paritetą po akivaizdaus išnaudojimo, leidžiančio piniginei iš žetono likvidumo fondų ištraukti apie 8.5 mln. USD, praėjus vos kelioms savaitėms po to, kai Platypus DeFi išleido stabilią monetą.
Numanomas įsilaužimas buvo įvykdytas naudojant greitą paskolos išnaudojimą, kurio metu užpuolikas paima didžiulę paskolą ir sumoka ją tame pačiame bloke, įtraukdamas sandorius, kurių metu kapitalas naudojamas kitiems protokolams išnaudoti. Platypus apsikeitimo funkcija tinkle buvo išjungta nuo atakos.
„Įvyko greitos paskolos ataka prieš USP“, – įspėja vartotojus oficialiame Platypus Telegram kanale. „Šiuo metu bandome įvertinti situaciją ir operatyviai apie tai informuosime. Kol kas visos operacijos pristabdytos, kol gausime daugiau aiškumo.
Tariamas užpuolikas, atrodo, paėmė 44 mln. USD greitą paskolą iš „Aave V3“ ir savo ruožtu nukaldino apie 41 mln. Tada užpuolikas išgrynino apie 8.5 mln. USD į kitas stabilias monetas ir grąžino greitąją paskolą. Visi šie veiksmai buvo atlikti tame pačiame operacijų bloke, grandinėje duomenys Rodyti.
„Pažeidžiamumas slypi mokumo patikrinime, kai veikia „MasterPlatypusV4“ sutarties atšaukimas“, – „The Block“ sakė žiniatinklio3 saugos įmonė Certik.
„Mokumo patikrinime neatsižvelgiama į vartotojo skolos vertę. Tik tikrinama, ar skolos suma pasiekė maksimalią ribą“, – sakė M. Certikas. „Praėjus mokumo patikrinimui, sutartis leidžia vartotojui atsiimti visą įneštą turtą.
Užpuoliko adreso skolinimosi istorija.
Išnaudojus fondo likvidumą ankstesniame bloke, likę 33 milijonai žetonų yra užpuoliko piniginėje ir jais negalima prekiauti.
USP dabar prekiauja apie 0.47 USD po to, kai sumažėjo šiek tiek daugiau nei 52%.
Diagramos duomenys iš CoinGecko.
„PlatypusDefi“ iš karto neatsakė į „The Block“ prašymą pakomentuoti.
Šaltinis: https://www.theblock.co/post/212711/flash-loan-exploit-appears-to-be-behind-platypus-usd-stablecoin-attack?utm_source=rss&utm_medium=rss