在 Platypus DeFi 发行稳定币几周后,Platypus USD (USP) 周四失去了美元平价,因为一个明显的漏洞允许钱包从代币的流动资金池中吸走约 850 万美元。
假定的黑客攻击是通过闪电贷漏洞利用完成的,在此期间,攻击者提取了一笔巨额贷款并将其结算在同一个区块中,将使用资金利用其间其他协议的交易夹在中间。自攻击以来,网络上的 Platypus 交换功能已被禁用。
“USP 遭到闪电贷攻击,” Platypus Telegram 官方频道中的固定消息警告用户。 "我们目前正在努力评估情况,并将及时就此进行沟通。目前,所有行动都已暂停,直到情况更加明朗。”
据称攻击者似乎已经从 Aave V3 获得了 4400 万美元的快速贷款,并反过来铸造了大约 4100 万个美国鸭嘴兽代币。接下来,攻击者将大约 850 万美元兑现到其他稳定币中,并偿还闪电贷。这些动作都发生在链上的同一个交易块中数据 展示。
“该漏洞存在于 MasterPlatypusV4 合约的 emergencyWithdraw 函数中的偿付能力检查中,”web3 安全公司 Certik 告诉 The Block。
“偿付能力检查没有考虑用户债务的价值。它只检查债务金额是否已达到最高限额,”Certik 说。 “在偿付能力检查通过后,合约允许用户提取所有存入的资产。”
攻击者地址的借用历史。
随着前一个区块中池中流动性的耗尽,剩余的 3300 万个代币驻留在攻击者的钱包中,无法进行交易。
在下跌超过 52% 之后,USP 现在的交易价格约为 0.47 美元。
来自 CoinGecko 的图表数据。
PlatypusDefi 没有立即回应 The Block 的置评请求。