Platypus USD (USP) verloor donderdag zijn dollarpariteit na een schijnbare exploit waardoor een portemonnee ongeveer $ 8.5 miljoen kon overhevelen uit de liquiditeitspools van het token, slechts enkele weken nadat Platypus DeFi de stablecoin had uitgegeven.
De vermoedelijke hack is tot stand gebracht door middel van een flash-lening-exploit, waarbij een aanvaller een enorme lening afsluit en deze in hetzelfde blok afwikkelt, met tussendoor transacties die het kapitaal gebruiken om andere protocollen te exploiteren. De Platypus-swapfunctie op het netwerk is sinds de aanval uitgeschakeld.
"Er is een flash-leningaanval op USP geweest", waarschuwt een vastgezet bericht in het officiële Platypus Telegram-kanaal gebruikers. “We proberen momenteel de situatie te beoordelen en zullen er snel over communiceren. Voorlopig liggen alle operaties stil totdat we meer duidelijkheid krijgen.”
De vermeende aanvaller lijkt een flitslening van $ 44 miljoen van Aave V3 te hebben afgesloten en op zijn beurt zo'n 41 miljoen US Platypus-tokens te hebben geslagen. Vervolgens incasseerde de aanvaller ongeveer $ 8.5 miljoen in andere stablecoins en betaalde hij de flitslening terug. Deze acties vonden allemaal plaats in hetzelfde transactieblok, on-chain gegevens tonen.
"De kwetsbaarheid ligt in de solvabiliteitscontrole in de functie emergencyIntrekking van het MasterPlatypusV4-contract", vertelde web3-beveiligingsbedrijf Certik aan The Block.
“De solvabiliteitscontrole houdt geen rekening met de waarde van de schuld van de gebruiker. Het controleert alleen of het schuldbedrag de maximale limiet heeft bereikt, 'zei Certik. "Nadat de solvabiliteitscontrole is geslaagd, stelt het contract de gebruiker in staat om alle gestorte activa op te nemen."
De leengeschiedenis van het adres van de aanvaller.
Nu de liquiditeit van de pool in het vorige blok leeg was, bevinden de resterende 33 miljoen tokens zich in de portemonnee van de aanvaller en kunnen ze niet worden verhandeld.
USP handelt nu rond $ 0.47 na een daling met iets meer dan 52%.
Kaartgegevens van CoinGecko.
PlatypusDefi reageerde niet onmiddellijk op een verzoek om commentaar van The Block.
Bron: https://www.theblock.co/post/212711/flash-loan-exploit-appears-to-be-behind-platypus-usd-stablecoin-attack?utm_source=rss&utm_medium=rss