Platypus USD (USP) kehilangan pariti dolarnya pada hari Khamis berikutan eksploitasi jelas yang membenarkan dompet menyedut kira-kira $8.5 juta daripada kumpulan mudah tunai token, hanya beberapa minggu selepas Platypus DeFi mengeluarkan stablecoin.
Penggodaman yang dianggap telah dicapai melalui eksploitasi pinjaman kilat, di mana penyerang mengambil pinjaman yang besar dan menyelesaikannya di blok yang sama, mengapit transaksi yang menggunakan modal untuk mengeksploitasi protokol lain di antaranya. Fungsi pertukaran Platypus pada rangkaian telah dilumpuhkan sejak serangan itu.
"Terdapat serangan pinjaman kilat ke atas USP," mesej yang disematkan dalam saluran rasmi Platypus Telegram memberi amaran kepada pengguna. “Kami sedang cuba menilai keadaan dan akan berkomunikasi dengan segera mengenainya. Buat masa ini semua operasi dijeda sehingga kami mendapat lebih kejelasan.”
Penyerang yang dikatakan telah mengambil pinjaman kilat $44 juta daripada Aave V3, dan seterusnya menghasilkan kira-kira 41 juta token Platypus AS. Seterusnya, penyerang mengeluarkan kira-kira $8.5 juta ke dalam stablecoin lain, dan membayar balik pinjaman kilat. Semua tindakan ini berlaku dalam blok urus niaga yang sama, dalam rantaian data show.
"Kerentanan terletak pada pemeriksaan kesolvenan dalam fungsi emergencyWithdraw kontrak MasterPlatypusV4," firma keselamatan web3 Certik memberitahu The Block.
“Semakan kesolvenan tidak mengambil kira nilai hutang pengguna. Ia hanya menyemak sama ada jumlah hutang telah mencapai had maksimum,” kata Certik. "Selepas pemeriksaan kesolvenan lulus, kontrak membenarkan pengguna mengeluarkan semua aset yang didepositkan."
Sejarah peminjaman alamat penyerang.
Dengan kecairan kumpulan yang disalirkan di blok sebelumnya, baki 33 juta token berada dalam dompet penyerang, tidak dapat didagangkan.
USP kini didagangkan sekitar $0.47 selepas jatuh lebih daripada 52%.
Data carta daripada CoinGecko.
PlatypusDefi tidak segera menjawab permintaan untuk komen daripada The Block.
Sumber: https://www.theblock.co/post/212711/flash-loan-exploit-appears-to-be-behind-platypus-usd-stablecoin-attack?utm_source=rss&utm_medium=rss