Поделиться этой статьей

Как ошибка проверки платежеспособности привела к отмене привязки USP к Avalanche-Based Platypus Финансы

В пятницу после атаки стоимость собственной стейблкоина Platypus Finance упала с $1 до 48 центов.

Обновлено 17 февр. 2023 г., 4:33 p.m. Опубликовано 17 февр. 2023 г., 7:57 a.m. Переведено ИИ

Разработчики сообщили, что из-за ошибки в ключевом механизме ценообразования стейблкоин USP компании Platypus Finance ранее в пятницу потерял более 50% от запланированной привязки к доллару США.

«С сожалением сообщаем вам, что наш протокол недавно был взломан, и злоумышленник воспользовался уязвимостью в нашем механизме проверки платежеспособности USP», — написал Platypus в Twitter. «Они использовали флэш-кредит, чтобы воспользоваться логической ошибкой в механизме проверки платежеспособности USP в контракте, удерживающем обеспечение».

Продолжение Читайте Ниже

Не пропустите другую историю.Подпишитесь на рассылку The Protocol сегодня. Просмотреть все рассылки

Подписавшись, вы будете получать электронные письма о продуктах CoinDesk и соглашаетесь с нашим правила пользования и политика конфиденциальности.

Dear Community,
We regret to inform you that our protocol was hacked recently, and the attacker took advantage of a flaw in our USP solvency check mechanism. They used a flashloan to exploit a logic error in the USP solvency check mechanism in the contract holding the collateral.
— Platypus 🔺 (🦆+🦦+🦫) (@Platypusdefi) February 17, 2023

Механизм проверки платежеспособности обманул смарт-контракты Platypus, ошибочно полагая, что USP полностью обеспечен, как и предполагалось. И вот тут-то и начался эксплойт.

Platypus Финансы, как и другие децентрализованные биржи стейблкоинов, использует смарт-контракты вместо посредников для дешевого обмена стейблкоинов с низким проскальзыванием. Продукт довольно популярен, по состоянию на четверг в заблокированных токенах находится более 50 миллионов долларов.

По данным CoinDesk, в ходе атаки, произошедшей в четверг вечером в США, злоумышленники использовали атаку с мгновенным кредитованием, чтобы украсть более 8,5 миллионов долларов у Platypus. сообщили.

Что нужно знать

USP — это тип стейблкоина. Его цена зависит от того, сколько доступно в месте, называемом Главным пулом. Когда больше людей обменивают другие типы цифровых денег на USP, цена может немного снизиться.

Когда в основном пуле становится меньше USP, цена снова растет. Чтобы цена KEEP стабильной на уровне $1, с людей, которые берут в долг USP, взимается комиссия, и комиссия увеличивается, когда в основном пуле становится больше USP. Это побуждает людей брать больше в долг или возвращать свои долги.

Мгновенные кредиты — это специфичный для децентрализованного Финансы (DeFi) механизм, позволяющий пользователям брать в долг большие суммы капитала под небольшое обеспечение, при условии, что кредит будет погашен в рамках той же транзакции.

Мгновенные кредиты сами по себе не являются плохими: они, как правило, используются трейдерами, но недобросовестные игроки могут использовать мгновенные кредиты, чтобы обмануть смарт-контракт протокола и манипулировать ценами на пулы ликвидности, а также захватить активы этого пула.

Как злоумышленник украл миллионы

Данные блокчейна показывают, что злоумышленник занял более 44 миллионов долларов у кредитной платформы Aave для получения мгновенного кредита, использовал его для предоставления ликвидности торговому пулу на Platypus и обманом заставил смарт-контракты выпустить взамен токены LP Platypus на сумму 44 миллиона долларов, называемые LP-USDC.

Все это произошло за две транзакции. Затем эти токены LP были внесены в контракт на стейкинг на Platypus, который выпустил 11 000 токенов platypus (PTP) в качестве награды за стейкинг.

Злоумышленник также смог получить 41 миллион токенов USP, используя токены LP на сумму 44 миллиона долларов в качестве залога, поскольку Platypus позволяет пользователям брать в долг стейблкоины USP под залог своих позиций LP.

Данные блокчейна показывают, что $44 млн. в виде мгновенного займа, взятого у Aave , в конечном итоге были использованы для эксплуатации Platypus. (Snowtrace)

В этот момент злоумышленник вызвал функцию «emergencywithdraw» на смарт-контрактах Platypus, чтобы вывести $44 млн, изначально предоставленных пулу ликвидности Platypus. Ошибка проверки платежеспособности в коде не смогла помешать такому шагу, что позволило злоумышленнику вывести токены и погасить мгновенный кредит Aave .

Однако система не отозвала 41 миллион выпущенных токенов USP, что в свою очередь позволило злоумышленнику обменять их на ликвидность в размере 8,5 миллионов долларов, имевшуюся на тот момент на Platypus.

По состоянию на пятницу компания Platypus заявила, что связалась с злоумышленником, чтобы договориться о вознаграждении в обмен на возврат средств.

Он добавил, что связались с соответствующими сторонами безопасности и Криптo . «В настоящее время мы работаем с несколькими сторонами… включая Binance, Tether и Circle, чтобы заморозить средства хакера и предотвратить дальнейшие потери. Прямо сейчас USDT заморожен.

«Мы также изучаем варианты компенсации и возмещения расходов пострадавшим инвесторам», — написали застройщики в Twitter.

На момент написания статьи акции USP продолжают терять стоимость, по состоянию на утро пятницы они торгуются на уровне 47 центов.

Trading DeFi Hack Avalanche

Shaurya Malwa

Shaurya is the Co-Leader of the CoinDesk tokens and data team in Asia with a focus on crypto derivatives, DeFi, market microstructure, and protocol analysis.

Shaurya holds over $1,000 in BTC, ETH, SOL, AVAX, SUSHI, CRV, NEAR, YFI, YFII, SHIB, DOGE, USDT, USDC, BNB, MANA, MLN, LINK, XMR, ALGO, VET, CAKE, AAVE, COMP, ROOK, TRX, SNX, RUNE, FTM, ZIL, KSM, ENJ, CKB, JOE, GHST, PERP, BTRFLY, OHM, BANANA, ROME, BURGER, SPIRIT, and ORCA.

He provides over $1,000 to liquidity pools on Compound, Curve, SushiSwap, PancakeSwap, BurgerSwap, Orca, AnySwap, SpiritSwap, Rook Protocol, Yearn Finance, Synthetix, Harvest, Redacted Cartel, OlympusDAO, Rome, Trader Joe, and SUN.