Platypus USD (USP) mistet sin dollarparitet torsdag etter en tilsynelatende utnyttelse som gjorde at en lommebok kunne ta av rundt 8.5 millioner dollar fra tokenets likviditetspooler, bare uker etter at Platypus DeFi utstedte stablecoin.
Det antatte hacket ble oppnådd ved hjelp av en flash-lån-utnyttelse, der en angriper tar opp et enormt lån og avgjør det i samme blokk, og legger inn transaksjoner som bruker kapitalen til å utnytte andre protokoller i mellom. Platypus-byttefunksjonen på nettverket har vært deaktivert siden angrepet.
"Det har vært et flash-lånsangrep på USP," advarer en festet melding i den offisielle Platypus Telegram-kanalen brukere. "Vi prøver nå å vurdere situasjonen og vil kommunisere raskt om det. Foreløpig er alle operasjoner satt på pause til vi får mer klarhet.»
Den påståtte angriperen ser ut til å ha tatt opp et flashlån på 44 millioner dollar fra Aave V3, og i sin tur preget rundt 41 millioner amerikanske Platypus-tokens. Deretter utbetalte angriperen rundt 8.5 millioner dollar til andre stablecoins, og betalte tilbake flash-lånet. Disse handlingene fant sted i samme blokk med transaksjoner, på kjeden dato showet.
"Sårbarheten ligger i solvenskontrollen i funksjonen emergencyWithdraw av MasterPlatypusV4-kontrakten," sa web3-sikkerhetsfirmaet Certik til The Block.
«Solvenssjekken tar ikke hensyn til verdien av brukerens gjeld. Den sjekker bare om gjeldsbeløpet har nådd maksgrensen, sa Certik. "Etter at soliditetskontrollen er bestått, tillater kontrakten brukeren å ta ut alle deponerte eiendeler."
Lånehistorikken til angriperens adresse.
Med bassengets likviditet tappet i forrige blokk, ligger de resterende 33 millioner tokens i angriperens lommebok, og kan ikke handles.
USP handles nå rundt $0.47 etter å ha falt med litt over 52%.
Kartdata fra CoinGecko.
PlatypusDefi svarte ikke umiddelbart på en forespørsel om kommentar fra The Block.
Kilde: https://www.theblock.co/post/212711/flash-loan-exploit-appears-to-be-behind-platypus-usd-stablecoin-attack?utm_source=rss&utm_medium=rss