Platypus USD (USP) a perdu sa parité avec le dollar jeudi à la suite d'un exploit apparent qui a permis à un portefeuille de siphonner environ 8.5 millions de dollars des pools de liquidités du jeton, quelques semaines seulement après que Platypus DeFi a émis le stablecoin.
Le piratage présumé a été accompli au moyen d'un exploit de prêt flash, au cours duquel un attaquant contracte un énorme prêt et le règle dans le même bloc, prenant en sandwich des transactions qui utilisent le capital pour exploiter d'autres protocoles intermédiaires. La fonction d'échange de Platypus sur le réseau a été désactivée depuis l'attaque.
"Il y a eu une attaque de prêt flash contre l'USP", avertit les utilisateurs d'un message épinglé sur la chaîne officielle Platypus Telegram. "Nous essayons actuellement d'évaluer la situation et communiquerons rapidement à ce sujet. Pour l'instant, toutes les opérations sont suspendues jusqu'à ce que nous obtenions plus de clarté.
L'attaquant présumé semble avoir contracté un prêt flash de 44 millions de dollars auprès d'Aave V3, et à son tour frappé quelque 41 millions de jetons US Platypus. Ensuite, l'attaquant a encaissé quelque 8.5 millions de dollars dans d'autres pièces stables et a remboursé le prêt flash. Ces actions ont toutes eu lieu dans le même bloc de transactions, en chaîne données montrer.
"La vulnérabilité réside dans la vérification de solvabilité dans la fonction d'urgenceRetrait du contrat MasterPlatypusV4", a déclaré la société de sécurité Web3 Certik à The Block.
« Le bilan de solvabilité ne tient pas compte de la valeur de la dette de l'usager. Il vérifie uniquement si le montant de la dette a atteint la limite maximale », a déclaré Certik. "Une fois le contrôle de solvabilité réussi, le contrat permet à l'utilisateur de retirer tous les actifs déposés."
L'historique d'emprunt de l'adresse de l'attaquant.
La liquidité du pool étant épuisée dans le bloc précédent, les 33 millions de jetons restants résident dans le portefeuille de l'attaquant, et ne peuvent pas être échangés.
USP se négocie maintenant autour de 0.47 $ après avoir chuté d'un peu plus de 52 %.
Données graphiques de CoinGecko.
PlatypusDefi n'a pas immédiatement répondu à une demande de commentaire de The Block.
Source : https://www.theblock.co/post/212711/flash-loan-exploit-appears-to-be-behind-platypus-usd-stablecoin-attack?utm_source=rss&utm_medium=rss