Схоже, що за атакою на стейблкоїн Platypus USD стоїть експлойт флеш-кредиту

Platypus USD (USP) втратив свій доларовий паритет у четвер після очевидного експлойту, який дозволив гаманцю викачати близько 8.5 мільйонів доларів із пулів ліквідності токена, лише через кілька тижнів після того, як Platypus DeFi випустив стейблкойн.

Передбачуваний злом був здійснений за допомогою експлойту флеш-позики, під час якого зловмисник бере величезну позику та розраховується в тому ж блоці, розміщуючи транзакції, які використовують капітал для використання інших протоколів між ними. Функція обміну Platypus у мережі була вимкнена після атаки. 

«На USP була скоєна флеш-кредитна атака», — попереджає користувачів у закріпленому повідомленні в офіційному каналі Platypus Telegram. «Наразі ми намагаємося оцінити ситуацію та будемо оперативно повідомляти про це. Наразі всі операції призупинено, поки ми не отримаємо більше ясності».

Передбачуваний зловмисник, схоже, взяв у Aave V44 термінову позику на суму 3 мільйони доларів і, у свою чергу, викарбував близько 41 мільйона токенів Platypus США. Далі зловмисник перерахував близько 8.5 мільйонів доларів на інші стейблкойни та повернув кредит. Усі ці дії відбувалися в одному блоці транзакцій у ланцюжку дані шоу.

«Уразливість полягає в перевірці платоспроможності у функції EmergencyWithdraw контракту MasterPlatypusV4», — повідомила The Block компанія безпеки web3 Certik.

«Перевірка платоспроможності не враховує вартість боргу користувача. Він лише перевіряє, чи досягла сума боргу максимального ліміту», — сказав Сертік. «Після проходження перевірки платоспроможності контракт дозволяє користувачеві зняти всі депоновані активи».

Історія запозичень адреси зловмисника.

Оскільки ліквідність пулу вичерпано в попередньому блоці, решта 33 мільйони токенів знаходяться в гаманці зловмисника, і ними неможливо торгувати.

Зараз USP торгується близько $0.47 після падіння трохи більше ніж на 52%.

Дані діаграми від CoinGecko.

PlatypusDefi не відразу відповів на запит про коментар від The ​​Block.