Atruna: raksts ir atjaunināts, lai atspoguļotu, ka Omniscia nepārbaudīja MasterPlatypusV4 līguma versiju. Tā vietā uzņēmums pārbaudīja MasterPlatypusV1 līguma versiju no 21. gada 5. novembra līdz 2021. decembrim.
Platypus zibatmiņas aizdevuma uzbrukums 8 miljonu ASV dolāru apmērā bija iespējams nepareizā koda dēļ, atbilstoši uz pēcnāves ziņojumu no Platypus auditora Omniscia. Auditora uzņēmums apgalvo, ka problemātiskais kods neeksistēja tās pārbaudītajā versijā.
Ņemot vērā neseno @Platypusdefi incidents https://t.co/30PzcoIJnt komanda ir sagatavojusi tehnisko pēcnāves analīzi, aprakstot, kā ekspluatācija tika atklāta ļoti detalizēti.
Noteikti sekojiet @Omniscia_sec lai saņemtu vairāk drošības atjauninājumu!https://t.co/cf784QtKPK pic.twitter.com/egHyoYaBhn
— Omniscia (@Omniscia_sec) Februāris 17, 2023
Saskaņā ar ziņojumu Platypus MasterPlatypusV4 līgums “ietvēra fatālu nepareizu priekšstatu par avārijas izņemšanas mehānismu”, kas lika tam veikt “maksātspējas pārbaudi pirms LP marķieru atjaunināšanas, kas saistīti ar likmes pozīciju”.
Ziņojumā uzsvērts, ka avārijas izņemšanas funkcijas kodam bija visi nepieciešamie elementi, lai novērstu uzbrukumu, taču šie elementi vienkārši tika ierakstīti nepareizā secībā, kā paskaidroja Omniscia:
"Problēmu varēja novērst, atkārtoti pasūtot MasterPlatypusV4::emergencyWithdraw paziņojumus un veicot maksātspējas pārbaudi pēc tam, kad lietotāja summas ievade ir iestatīta uz 0, kas būtu aizliedzis uzbrukumu."
Uzņēmums Omniscia pārbaudīja MasterPlatypusV1 līguma versiju no 21. gada 5. novembra līdz 2021. decembrim. Tomēr šajā versijā “neietvēra integrācijas punktu ar ārēju platypusTreasure sistēmu”, un tāpēc tajā nebija ietvertas nepareizi sakārtotas koda rindas.
Ir svarīgi atzīmēt, ka Omniscia audita laikā izmantotais kods nepastāvēja. Omniscia viedoklis nozīmē, ka izstrādātājiem ir jābūt izvietojuši jaunu līguma versiju kādā brīdī pēc audita veikšanas.
Saistītie: Raydium paziņo informāciju par uzlaušanu, ierosina kompensāciju upuriem
Revidents apgalvo, ka līguma izpilde Avalanche C-Chain adresē 0xc007f27b757a782c833c568f5851ae1dfe0e6ec7 ir tā, kas bija izmantots. Šķiet, ka šī līguma 582.–584. rindā tiek izsaukta funkcija ar nosaukumu “isSolvent” PlatypusTreasure līgumā, un 599.–601. rindā lietotāja summa, koeficients un atlīdzībaDebt tiek iestatīta uz nulli. Tomēr šīs summas tiek iestatītas uz nulli pēc tam, kad funkcija “isSolvent” jau ir izsaukta.
Platypus komanda apstiprināts 16. februārī, ka uzbrucējs izmantoja "kļūdu [USP] maksātspējas pārbaudes mehānismā", taču komanda sākotnēji nesniedza sīkāku informāciju. Šis jaunais revidenta ziņojums sniedz papildu skaidrību par to, kā uzbrucējs varēja veikt ļaunprātīgu izmantošanu.
Platypus komanda 16. februārī paziņoja, ka uzbrukums bija noticis. Tā ir mēģinājusi sazināties ar hakeri un panākt, lai līdzekļi tiktu atgriezti apmaiņā pret kļūdu atlīdzību. Uzbrucējs izmantoti zibenīgie kredīti lai veiktu izmantošanu, kas ir līdzīga stratēģijai, kas tiek izmantota Defrost Finance izmantot 25. gada 2022. decembrī.
Avots: https://cointelegraph.com/news/platypus-attack-exploited-incorrect-ordering-of-code-auditor-claims