Exploateringen av flashlån verkar ligga bakom Platypus USD stablecoin-attacken

Platypus USD (USP) förlorade sin dollarparitet på torsdagen efter en uppenbar exploatering som gjorde det möjligt för en plånbok att ta bort cirka 8.5 miljoner dollar från tokens likviditetspooler, bara veckor efter att Platypus DeFi emitterade stablecoin.

Det förmodade hacket åstadkoms med hjälp av ett flashlån, under vilket en angripare tar ett enormt lån och löser det i samma block och lägger in transaktioner som använder kapitalet för att utnyttja andra protokoll däremellan. Platypus swap-funktionen på nätverket har varit inaktiverad sedan attacken. 

"Det har skett en snabblånsattack på USP," varnar användarna i ett nålat meddelande i den officiella Platypus Telegram-kanalen. "Vi försöker för närvarande utvärdera situationen och kommer att kommunicera om det snabbt. För nu är all verksamhet pausad tills vi får mer klarhet.”

Den påstådda angriparen verkar ha tagit ett flashlån på 44 miljoner dollar från Aave V3 och i sin tur präglat cirka 41 miljoner amerikanska Platypus-tokens. Därefter betalade angriparen ut cirka 8.5 miljoner dollar till andra stablecoins och betalade tillbaka flashlånet. Dessa åtgärder ägde alla rum i samma block av transaktioner, on-chain datum show.

"Sårbarheten ligger i solvenskontrollen i funktionen emergencyWithdraw av MasterPlatypusV4-kontraktet," sa web3-säkerhetsföretaget Certik till The Block.

”Solvenskontrollen tar inte hänsyn till värdet av användarens skuld. Den kontrollerar bara om skuldbeloppet har nått maxgränsen, säger Certik. "Efter att solvenskontrollen har passerat tillåter avtalet användaren att ta ut alla insatta tillgångar."

Lånehistoriken för angriparens adress.

Med poolens likviditet dränerad i föregående block, finns de återstående 33 miljoner tokens i angriparens plånbok, utan att kunna handlas.

USP handlas nu runt $0.47 efter att ha fallit med drygt 52%.

Diagramdata från CoinGecko.

PlatypusDefi svarade inte omedelbart på en begäran om kommentar från The Block.