Platypus USD (USP) și-a pierdut paritatea dolarului, joi, în urma unei aparente exploatări care a permis unui portofel să extragă aproximativ 8.5 milioane de dolari din fondurile de lichiditate ale jetonului, la doar câteva săptămâni după ce Platypus DeFi a emis moneda stabilă.
Presupusul hack a fost realizat printr-un exploit de împrumut flash, în timpul căruia un atacator ia un împrumut enorm și îl decontează în același bloc, înglobând tranzacții care folosesc capitalul pentru a exploata alte protocoale între ele. Funcția de schimb Platypus de pe rețea a fost dezactivată de la atac.
„A existat un atac de împrumut rapid asupra USP”, avertizează utilizatorii un mesaj fixat pe canalul oficial Platypus Telegram. „În prezent, încercăm să evaluăm situația și vom comunica cu promptitudine asupra ei. Deocamdată toate operațiunile sunt întrerupte până când vom obține mai multă claritate.”
Presupusul atacator pare să fi luat un împrumut flash de 44 de milioane de dolari de la Aave V3 și, la rândul său, a bătut aproximativ 41 de milioane de jetoane Platypus din SUA. Apoi, atacatorul a încasat aproximativ 8.5 milioane de dolari în alte monede stabile și a rambursat împrumutul flash. Toate aceste acțiuni au avut loc în același bloc de tranzacții, în lanț de date spectacol.
„Vulnerabilitatea constă în verificarea solvabilității în funcția de urgență Retragerea contractului MasterPlatypusV4”, a declarat pentru The Block firma de securitate web3 Certik.
„Verificarea solvabilității nu ține cont de valoarea datoriei utilizatorului. Verifică doar dacă suma datoriei a atins limita maximă”, a spus Certik. „După trecerea verificării solvabilității, contractul permite utilizatorului să retragă toate activele depuse.”
Istoricul de împrumut al adresei atacatorului.
Cu lichiditatea pool-ului epuizată în blocul anterior, restul de 33 de milioane de jetoane rezidă în portofelul atacatorului, neputând fi tranzacționate.
USP se tranzacționează acum în jurul valorii de 0.47 USD, după ce a scăzut cu puțin peste 52%.
Date grafice de la CoinGecko.
PlatypusDefi nu a răspuns imediat unei solicitări de comentarii din partea The Block.
Sursa: https://www.theblock.co/post/212711/flash-loan-exploit-appears-to-be-behind-platypus-usd-stablecoin-attack?utm_source=rss&utm_medium=rss