Yasal Uyarı: Makale, Omniscia'nın MasterPlatypusV4 sözleşmesinin bir versiyonunu denetlemediğini yansıtacak şekilde güncellendi. Bunun yerine şirket, MasterPlatypusV1 sözleşmesinin bir versiyonunu 21 Kasım - 5 Aralık 2021 tarihleri arasında denetledi.
8 milyon dolarlık Platypus flash kredi saldırısı, kodun yanlış sırada olması nedeniyle mümkün oldu. göre Platypus denetçisi Omniscia'nın otopsi raporuna. Denetim şirketi, sorunlu kodun denetledikleri sürümde mevcut olmadığını iddia ediyor.
Son zamanların ışığında @Ornitorenk olay https://t.co/30PzcoIJnt ekibi, açıktan yararlanmanın nasıl büyük ayrıntılarla çözüldüğünü açıklayan teknik bir otopsi analizi hazırladı.
Takip ettiğinizden emin olun @Omniscia_sec daha fazla güvenlik güncellemesi almak için!https://t.co/cf784QtKPK pic.twitter.com/egHyoYaBhn
— Omniscia (@Omniscia_sec) Şubat 17, 2023
Rapora göre, Platypus MasterPlatypusV4 sözleşmesi "acil durum para çekme mekanizmasında ölümcül bir yanlış anlama içeriyordu" ve bu durum onun "hisse pozisyonuyla ilişkili LP tokenlerini güncellemeden önce ödeme gücü kontrolünü" gerçekleştirmesine neden oldu.
Rapor, acil Geri Çekme işlevi kodunun bir saldırıyı önlemek için gerekli tüm öğelere sahip olduğunu, ancak Omniscia'nın açıkladığı gibi bu öğelerin yanlış sırayla yazıldığını vurguladı:
"Sorun, MasterPlatypusV4::emergencyWithdraw ifadelerinin yeniden düzenlenmesi ve kullanıcının tutar girişi 0'a ayarlandıktan sonra saldırının gerçekleşmesini engelleyecek ödeme gücü kontrolünün gerçekleştirilmesiyle önlenebilirdi."
Omniscia, MasterPlatypusV1 sözleşmesinin bir sürümünü 21 Kasım - 5 Aralık 2021 tarihleri arasında denetledi. Ancak bu sürüm "harici bir platypusTreasure sistemiyle hiçbir entegrasyon noktası içermiyordu" ve bu nedenle yanlış sıralanmış kod satırlarını içermiyordu.
Omniscia'nın denetimi sırasında istismar edilen kodun mevcut olmadığını belirtmek önemlidir. Omniscia'nın bakış açısı, geliştiricilerin denetim yapıldıktan sonra bir noktada sözleşmenin yeni bir versiyonunu uygulamaya koymuş olmaları gerektiğini ima ediyor.
İlgili: Raydium hack'in ayrıntılarını açıkladı, mağdurlar için tazminat önerdi
Denetçi, Avalanche C-Chain adresindeki 0xc007f27b757a782c833c568f5851ae1dfe0e6ec7 adresindeki sözleşme uygulamasının, sömürülen. Bu sözleşmenin 582-584. satırları, PlatypusTreasure sözleşmesinde "isSolvent" adlı bir işlevi çağırıyor gibi görünüyor ve 599-601. satırlar, kullanıcının tutarını, faktörünü ve ödül borcunu sıfıra ayarlıyor gibi görünüyor. Ancak “isSolvent” fonksiyonu çağrıldıktan sonra bu miktarlar sıfıra ayarlanır.
ornitorenk takımı onaylı 16 Şubat'ta saldırganın "USP ödeme gücü kontrol mekanizmasındaki bir kusurdan" yararlandığını, ancak ekip başlangıçta daha fazla ayrıntı sağlamadı. Denetçinin bu yeni raporu, saldırganın açıktan yararlanmayı nasıl başarmış olabileceğine daha fazla ışık tutuyor.
Platypus ekibi 16 Şubat'ta saldırı gerçekleşti. Bilgisayar korsanıyla iletişim kurmaya ve hata ödülü karşılığında paranın iade edilmesini sağlamaya çalıştı. Saldırgan flaş krediler kullandı kullanılan stratejiye benzer şekilde istismarı gerçekleştirmek için Defrost Finans istismarı 25 Aralık 2022'de.
Kaynak: https://cointelegraph.com/news/platypus-attack-exploited-incorrect-ordering-of-code-auditor-claims