Platypus USD (USP) は、Platypus DeFi がステーブルコインを発行してからわずか数週間後に、ウォレットがトークンの流動性プールから約 850 万ドルを吸い上げることができる明らかなエクスプロイトを受けて、木曜日にドルのパリティを失いました。
推定されるハッキングは、フラッシュ ローンのエクスプロイトによって達成されました。このエクスプロイトでは、攻撃者が巨額のローンを取得し、同じブロックで決済し、その間に他のプロトコルを悪用するために資本を使用するトランザクションを挟みます。攻撃以降、ネットワーク上の Platypus スワップ機能は無効になっています。
「USP に対するフラッシュ ローン攻撃がありました。」 Platypus Telegram の公式チャンネルにピン留めされたメッセージは、ユーザーに警告します。 「私たちは現在状況を評価しようとしており、すぐに連絡します。今のところ、より明確になるまで、すべての操作は一時停止されています。」
攻撃者とされる人物は、Aave V3 から 4,400 万ドルのフラッシュ ローンを借りて、約 4,100 万の米国 Platypus トークンを発行したようです。次に、攻撃者は約 850 万ドルを他のステーブルコインにキャッシュアウトし、フラッシュ ローンを返済しました。これらのアクションはすべて、オンチェーンのトランザクションの同じブロックで行われましたデータ 見せる。
「脆弱性は、MasterPlatypusV4 コントラクトの関数 EmergencyWithdraw のソルベンシー チェックにあります」と web3 セキュリティ会社 Certik は The Block に語った。
「支払能力チェックでは、ユーザーの負債の価値は考慮されていません。負債額が上限に達したかどうかのみをチェックします」と Certik 氏は述べています。 「ソルベンシーチェックに合格した後、契約により、ユーザーは預け入れられたすべての資産を引き出すことができます。」
攻撃者アドレスの借用履歴。
前のブロックでプールの流動性が枯渇したため、残りの 3,300 万のトークンは攻撃者のウォレットにあり、取引できません。
USP は現在、52% 強下落した後、約 0.47 ドルで取引されています。
CoinGecko のチャート データ。
PlatypusDefi は、The Block からのコメントのリクエストにすぐには応答しませんでした。