Platypus USD (USP), Platypus DeFi'nin stablecoin'i piyasaya sürmesinden sadece birkaç hafta sonra, bir cüzdanın tokenın likidite havuzlarından yaklaşık 8.5 milyon dolar çekmesine olanak tanıyan açık bir istismarın ardından Perşembe günü dolar paritesini kaybetti.
Varsayılan hackleme, bir saldırganın çok büyük bir kredi alıp bunu aynı bloğa yerleştirdiği, sermayeyi aradaki diğer protokolleri istismar etmek için kullanan işlemleri sandviçlediği bir flaş kredi istismarı yoluyla gerçekleştirildi. Saldırıdan bu yana ağdaki Platypus takas işlevi devre dışı bırakıldı.
Resmi Platypus Telegram kanalındaki sabitlenmiş bir mesajda, "USP'ye flaş kredi saldırısı gerçekleşti" uyarısı yapılıyor. "Şu anda durumu değerlendirmeye çalışıyoruz ve bu konuda derhal iletişime geçeceğiz. Şimdilik daha fazla netlik elde edilene kadar tüm operasyonlar durduruldu.”
İddia edilen saldırganın Aave V44'ten 3 milyon dolarlık flaş kredi aldığı ve bunun karşılığında yaklaşık 41 milyon ABD Platypus tokeni bastığı görülüyor. Daha sonra saldırgan, diğer stablecoin'lere yaklaşık 8.5 milyon dolar nakde çevirdi ve flaş krediyi geri ödedi. Bu eylemlerin tümü aynı işlem bloğunda, zincir üzerinde gerçekleşti veri gösteri.
Web4 güvenlik firması Certik, The Block'a şunları söyledi: "Güvenlik açığı, MasterPlatypusV3 sözleşmesinin acil olarak geri çekilmesi işlevindeki ödeme gücü kontrolünde yatıyor."
“Ödeme gücü kontrolünde kullanıcının borcunun değeri dikkate alınmıyor. Sadece borç tutarının maksimum limite ulaşıp ulaşmadığını kontrol ediyor” dedi Certik. "Ödeme gücü kontrolü geçtikten sonra sözleşme, kullanıcının yatırılan tüm varlıkları geri çekmesine izin veriyor."
Saldırganın adresinin ödünç alma geçmişi.
Havuzun likiditesinin bir önceki blokta boşaltılmasıyla birlikte kalan 33 milyon token, saldırganın cüzdanında takas edilemeyecek şekilde duruyor.
USP %0.47'nin biraz üzerinde düştükten sonra şu anda 52 dolar civarında işlem görüyor.
CoinGecko'dan grafik verileri.
PlatypusDefi, The Block'tan gelen yorum talebine hemen yanıt vermedi.
Kaynak: https://www.theblock.co/post/212711/flash-loan-exploit-appears-to-be-behind-platypus-usd-stablecoin-attack?utm_source=rss&utm_medium=rss