16 лютого DeFi-протокол Platypus зазнав атаки через флеш-кредити на токени Avalanche (AVAX), повідомила у Twitter компанія CertiK, що спеціалізується на кібербезпеці.
#CertiKSkynetAlert 🚨
— CertiK Alert (@CertiKAlert) February 16, 2023
We are seeing a #flashloan attack on @Platypusdefi resulting in a potential loss of ~$8.5M.
Tx AVAX: 0x1266a937c2ccd970e5d7929021eed3ec593a95c68a99b4920c2efa226679b430
Stay Frosty! pic.twitter.com/AM2HOM5M2r
Невідомим вдалося вивести $8,5 млн. Унаслідок злому стейблкоїн проєкту, Platypus USD (USP), втратив прив’язку до долара, знизившись до $0,478815. Добове падіння активу склало 52,%.
Наразі більша частина вкрадених коштів залишається на контрактній адресі зловмисників, частину надіслано в пули EOA і AAVE.
За даними CertiK, уразливість, імовірно, криється в перевірці контракту MasterPlatypusV4 функцією emergencyWithdraw (екстрене виведення коштів), яка не спрацьовує тільки в тому разі, якщо запозичені активи перевищують ліміт. Після цього функція переводить усі депозитні активи користувача без урахування вартості коштів, узятих клієнтом у борг.
Зловмисники вклали $44 млн в актив Platypus USDC (LP-USDC), отримавши 44 млн LP-USD. Потім вони перевели LP-USD на контракт MasterPlatypusV4.
Хакери активували функцію запозичення, щоб випустити близько 41,79 млн USP у контракті PlatypusTreasure. Це максимальна сума, дозволена лімітом запозичення, який встановлено на рівні 95% застави користувача.
Оскільки зловмисники не позичали більше 95% ліміту, значення isSolvent повернулося як вірне, що дозволило їм викликати функцію emergencyWithdraw і отримати всю суму в розмірі 44 млн LP-USDC.
Після цього хакери вивели 44 млн із Platypus USDC і обміняли USP на різні активи через фінансовий пул Platypus.
Отримай до 5000 USDT за реєстрацію, депозит і торгівлю на біржі Bybit!
Хочете отримувати свіжі новини по темі криптовалют в месенджер? Підписуйтеся на наш Telegram!