Platypus USD (USP) verlor am Donnerstag seine Dollarparität nach einem offensichtlichen Exploit, der es einer Brieftasche ermöglichte, etwa 8.5 Millionen Dollar aus den Liquiditätspools des Tokens abzuschöpfen, nur wenige Wochen nachdem Platypus DeFi die Stablecoin ausgegeben hatte.
Der mutmaßliche Hack wurde mittels eines Flash-Darlehen-Exploits durchgeführt, bei dem ein Angreifer einen enormen Kredit aufnimmt und ihn im selben Block begleicht, wobei Transaktionen zwischengeschaltet werden, die das Kapital verwenden, um andere Protokolle auszunutzen. Die Platypus-Swap-Funktion im Netzwerk wurde seit dem Angriff deaktiviert.
„Es gab einen Flash-Loan-Angriff auf USP“, warnt eine angeheftete Nachricht im offiziellen Platypus-Telegram-Kanal die Benutzer. „Wir versuchen derzeit, die Lage einzuschätzen und werden zeitnah darüber kommunizieren. Vorerst sind alle Operationen pausiert, bis wir mehr Klarheit haben.“
Der mutmaßliche Angreifer scheint einen Flash-Kredit in Höhe von 44 Millionen Dollar von Aave V3 aufgenommen und im Gegenzug etwa 41 Millionen US-Platypus-Token geprägt zu haben. Als nächstes zahlte der Angreifer etwa 8.5 Millionen Dollar in andere Stablecoins aus und zahlte das Flash-Darlehen zurück. Diese Aktionen fanden alle in demselben Transaktionsblock in der Kette statt technische Daten zeigen.
„Die Schwachstelle liegt in der Bonitätsprüfung in der Funktion EmergencyWithdraw des MasterPlatypusV4-Vertrags“, sagte die Web3-Sicherheitsfirma Certik gegenüber The Block.
„Bei der Bonitätsprüfung wird der Wert der Schulden des Nutzers nicht berücksichtigt. Es prüft nur, ob der Schuldenbetrag die Höchstgrenze erreicht hat“, sagte Certik. „Nach Bestehen der Bonitätsprüfung erlaubt der Vertrag dem Benutzer, alle hinterlegten Vermögenswerte abzuheben.“
Der Ausleihverlauf der Angreiferadresse.
Da die Liquidität des Pools im vorherigen Block aufgebraucht war, befinden sich die verbleibenden 33 Millionen Token in der Brieftasche des Angreifers und können nicht gehandelt werden.
USP handelt jetzt um 0.47 $, nachdem es um etwas mehr als 52 % gefallen war.
Diagrammdaten von CoinGecko.
PlatypusDefi antwortete nicht sofort auf eine Bitte um einen Kommentar von The Block.
Quelle: https://www.theblock.co/post/212711/flash-loan-exploit-appears-to-be-behind-platypus-usd-stablecoin-attack?utm_source=rss&utm_medium=rss