A Platypus USD (USP) perdeu sua paridade com o dólar na quinta-feira, após uma aparente exploração que permitiu que uma carteira desviasse cerca de US$ 8.5 milhões dos pools de liquidez do token, apenas algumas semanas após a Platypus DeFi emitir a stablecoin.
O suposto hack foi realizado por meio de uma exploração de empréstimo flash, durante o qual um invasor pega um empréstimo enorme e o liquida no mesmo bloco, imprensando transações que usam o capital para explorar outros protocolos intermediários. A função de troca Platypus na rede foi desativada desde o ataque.
“Houve um ataque de empréstimo rápido à USP”, uma mensagem fixada no canal oficial Platypus Telegram alerta os usuários. “No momento, estamos tentando avaliar a situação e nos comunicaremos prontamente. Por enquanto, todas as operações estão pausadas até obtermos mais clareza.”
O suposto invasor parece ter feito um empréstimo rápido de $ 44 milhões da Aave V3 e, por sua vez, cunhou cerca de 41 milhões de tokens Platypus dos EUA. Em seguida, o invasor sacou cerca de US$ 8.5 milhões em outras stablecoins e pagou o empréstimo instantâneo. Todas essas ações ocorreram no mesmo bloco de transações, na cadeia dados, show.
“A vulnerabilidade está na verificação de solvência na função de emergênciaRetirada do contrato MasterPlatypusV4”, disse a empresa de segurança web3 Certik ao The Block.
“O cheque de solvência não leva em consideração o valor da dívida do usuário. Ele apenas verifica se o valor da dívida atingiu o limite máximo”, disse Certik. “Depois de aprovado o cheque de solvência, o contrato permite ao usuário sacar todos os ativos depositados.”
O histórico de empréstimo do endereço do invasor.
Com a liquidez do pool esgotada no bloco anterior, os 33 milhões de tokens restantes residem na carteira do invasor, impossibilitados de serem negociados.
A USP agora está sendo negociada em torno de US$ 0.47, depois de cair pouco mais de 52%.
Dados do gráfico do CoinGecko.
PlatypusDefi não respondeu imediatamente a um pedido de comentário do The Block.
Fonte: https://www.theblock.co/post/212711/flash-loan-exploit-appears-to-be-behind-platypus-usd-stablecoin-attack?utm_source=rss&utm_medium=rss