Giovedì Platypus USD (USP) ha perso la sua parità in dollari a seguito di un apparente exploit che ha consentito a un portafoglio di sottrarre circa 8.5 milioni di dollari dai pool di liquidità del token, poche settimane dopo che Platypus DeFi ha emesso la stablecoin.
Il presunto hack è stato realizzato mediante un flash loan exploit, durante il quale un attaccante richiede un enorme prestito e lo deposita nello stesso blocco, inserendo transazioni che utilizzano il capitale per sfruttare altri protocolli intermedi. La funzione di scambio Platypus sulla rete è stata disabilitata dopo l'attacco.
"C'è stato un attacco di prestito lampo contro USP", avverte gli utenti in un messaggio appuntato nel canale ufficiale di Platypus Telegram. “Attualmente stiamo cercando di valutare la situazione e comunicheremo tempestivamente al riguardo. Per ora tutte le operazioni sono sospese fino a quando non avremo maggiore chiarezza".
Sembra che il presunto aggressore abbia ottenuto un prestito lampo di 44 milioni di dollari da Aave V3 e, a sua volta, abbia coniato circa 41 milioni di gettoni Platypus statunitensi. Successivamente, l'aggressore ha incassato circa 8.5 milioni di dollari in altre stablecoin e ha restituito il prestito flash. Queste azioni si sono svolte tutte nello stesso blocco di transazioni, on-chain dati mostrare.
"La vulnerabilità risiede nel controllo della solvibilità nella funzione di emergenzaRitiro del contratto MasterPlatypusV4", ha detto a The Block la società di sicurezza web3 Certik.
“La verifica della solvibilità non tiene conto del valore del debito dell'utente. Controlla solo se l'importo del debito ha raggiunto il limite massimo", ha affermato Certik. "Una volta superato il controllo di solvibilità, il contratto consente all'utente di ritirare tutti i beni depositati."
La cronologia del prestito dell'indirizzo dell'attaccante.
Con la liquidità del pool prosciugata nel blocco precedente, i restanti 33 milioni di token risiedono nel portafoglio dell'attaccante, incapaci di essere scambiati.
USP è ora scambiato intorno a $ 0.47 dopo essere sceso di poco più del 52%.
Dati grafici da CoinGecko.
PlatypusDefi non ha risposto immediatamente a una richiesta di commento da parte di The Block.
Fonte: https://www.theblock.co/post/212711/flash-loan-exploit-appears-to-be-behind-platypus-usd-stablecoin-attack?utm_source=rss&utm_medium=rss