Platypus USD (USP) ceturtdien zaudēja savu dolāra paritāti pēc acīmredzamas izmantošanas, kas ļāva makam izņemt aptuveni 8.5 miljonus USD no marķiera likviditātes fondiem, tikai dažas nedēļas pēc tam, kad Platypus DeFi izdeva stabilu monētu.
Domājamā uzlaušana tika veikta, izmantojot zibatmiņas aizdevuma izmantošanu, kuras laikā uzbrucējs paņem milzīgu aizdevumu un nokārto to tajā pašā blokā, iekļaujot darījumus, kuros kapitāls tiek izmantots citu protokolu izmantošanai. Platypus mijmaiņas funkcija tīklā ir atspējota kopš uzbrukuma.
"Ir noticis ātrā aizdevuma uzbrukums USP," piesprausts ziņojums oficiālajā Platypus Telegram kanālā brīdina lietotājus. "Šobrīd cenšamies novērtēt situāciju un nekavējoties par to sazināsimies. Pagaidām visas darbības ir apturētas, līdz mēs iegūstam lielāku skaidrību.
Šķiet, ka iespējamais uzbrucējs ir paņēmis 44 miljonu ASV dolāru zibatmiņas aizdevumu no Aave V3 un, savukārt, izkalis aptuveni 41 miljonu ASV Platypus žetonu. Pēc tam uzbrucējs izņēma aptuveni 8.5 miljonus ASV dolāru citās stabilās monētās un atmaksāja ātro kredītu. Visas šīs darbības notika vienā un tajā pašā darījumu blokā ķēdē dati šovs.
"Neaizsargātība slēpjas maksātspējas pārbaudē MasterPlatypusV4 līguma ārkārtas atsaukšanas funkcijā," tīmekļa 3 drošības firma Certik sacīja The Block.
“Maksātspējas pārbaudē netiek ņemta vērā lietotāja parāda vērtība. Tas tikai pārbauda, vai parāda summa ir sasniegusi maksimālo robežu,” sacīja Certiks. "Pēc maksātspējas pārbaudes nokārtošanas līgums ļauj lietotājam izņemt visus noguldītos aktīvus."
Uzbrucēja adreses aizņēmuma vēsture.
Tā kā pūla likviditāte bija iztukšota iepriekšējā blokā, atlikušie 33 miljoni žetonu atrodas uzbrucēja makā, un tos nevar tirgot.
USP tagad tirgo aptuveni 0.47 USD pēc krituma par nedaudz vairāk nekā 52%.
Diagrammas dati no CoinGecko.
PlatypusDefi nekavējoties neatbildēja uz The Block komentāru pieprasījumu.
Avots: https://www.theblock.co/post/212711/flash-loan-exploit-appears-to-be-behind-platypus-usd-stablecoin-attack?utm_source=rss&utm_medium=rss