Flash-lånsudnyttelse ser ud til at stå bag Platypus USD stablecoin-angreb

Platypus USD (USP) mistede sin dollarparitet torsdag efter en tilsyneladende udnyttelse, der gjorde det muligt for en tegnebog at trække omkring $8.5 millioner fra tokenets likviditetspuljer, kun få uger efter Platypus DeFi udstedte stablecoin.

Det formodede hack blev opnået ved hjælp af en flash-låneudnyttelse, hvor en angriber optager et enormt lån og afregner det i den samme blok, hvorimod transaktioner, der bruger kapitalen til at udnytte andre protokoller, indlemmes. Platypus swap-funktionen på netværket har været deaktiveret siden angrebet. 

"Der har været et lynlånsangreb på USP," advarer en fastgjort besked i den officielle Platypus Telegram-kanal brugere. "Vi forsøger i øjeblikket at vurdere situationen og vil straks kommunikere om det. For nu er alle operationer sat på pause, indtil vi får mere klarhed.”

Den påståede angriber ser ud til at have optaget et flashlån på $44 millioner fra Aave V3 og til gengæld præget omkring 41 millioner amerikanske Platypus-tokens. Dernæst udbetalte angriberen omkring 8.5 millioner dollars til andre stablecoins og tilbagebetalte flashlånet. Disse handlinger fandt alle sted i den samme blok af transaktioner, on-chain data at vise.

"Sårbarheden ligger i solvenskontrollen i funktionen emergencyWithdraw af MasterPlatypusV4-kontrakten," fortalte web3-sikkerhedsfirmaet Certik til The Block.

”Solvenstjekket tager ikke højde for værdien af ​​brugerens gæld. Den tjekker kun, om gældsbeløbet har nået maksgrænsen,” sagde Certik. "Efter at solvenskontrollen er bestået, giver kontrakten brugeren mulighed for at hæve alle deponerede aktiver."

Angriberens adresses lånehistorik.

Med puljens likviditet drænet i den forrige blok, ligger de resterende 33 millioner tokens i angriberens pung, som ikke kan handles.

USP handler nu omkring $0.47 efter et fald på lidt over 52%.

Diagramdata fra CoinGecko.

PlatypusDefi reagerede ikke umiddelbart på en anmodning om kommentar fra The Block.