Nawala ang pagkakapantay-pantay ng Platypus USD (USP) noong Huwebes kasunod ng isang maliwanag na pagsasamantala na nagbigay-daan sa isang wallet na makatipid ng humigit-kumulang $8.5 milyon mula sa mga liquidity pool ng token, ilang linggo lamang pagkatapos na inisyu ng Platypus DeFi ang stablecoin.
Ang ipinapalagay na pag-hack ay nagawa sa pamamagitan ng isang flash loan exploit, kung saan ang isang attacker ay kumuha ng napakalaking loan at i-settle ito sa parehong block, sandwiching transactions na gumagamit ng capital para samantalahin ang iba pang protocol sa pagitan. Ang Platypus swap function sa network ay hindi pinagana mula noong atake.
"Nagkaroon ng flash-loan attack sa USP," babala ng isang naka-pin na mensahe sa opisyal na channel ng Platypus Telegram sa mga user. "Kasalukuyan naming sinusubukan na tasahin ang sitwasyon at makikipag-usap kaagad tungkol dito. Sa ngayon ang lahat ng mga operasyon ay naka-pause hanggang sa makakuha kami ng higit pang kalinawan."
Ang di-umano'y umaatake ay lumilitaw na kumuha ng $44 milyon na flash loan mula sa Aave V3, at sa turn ay gumawa ng mga 41 milyong US Platypus token. Susunod, naglabas ng $8.5 milyon ang umaatake sa iba pang mga stablecoin, at binayaran ang flash loan. Ang mga pagkilos na ito ay naganap sa parehong bloke ng mga transaksyon, on-chain data ipakita.
"Ang kahinaan ay nakasalalay sa solvency checking sa function na emergencyWithdraw ng kontrata ng MasterPlatypusV4," sinabi ng web3 security firm na si Certik sa The Block.
“Hindi isinasaalang-alang ng solvency check ang halaga ng utang ng user. Sinusuri lamang nito kung ang halaga ng utang ay umabot sa pinakamataas na limitasyon, "sabi ni Certik. "Pagkatapos na pumasa sa solvency check, pinapayagan ng kontrata ang user na bawiin ang lahat ng nadepositong asset."
Ang kasaysayan ng paghiram ng address ng umaatake.
Dahil naubos ang liquidity ng pool sa nakaraang block, ang natitirang 33 milyong token ay nasa wallet ng attacker, na hindi maipagpalit.
Ang USP ay nakikipagkalakalan na ngayon sa paligid ng $0.47 pagkatapos bumaba ng higit sa 52%.
Data ng tsart mula sa CoinGecko.
Hindi agad tumugon si PlatypusDefi sa isang kahilingan para sa komento mula sa The Block.
Pinagmulan: https://www.theblock.co/post/212711/flash-loan-exploit-appears-to-be-behind-platypus-usd-stablecoin-attack?utm_source=rss&utm_medium=rss