PLATYPUS FINANCE - REKT



Evrim gizemli yollarla çalışır.

Avalanche merkezli Platypus Finance, yeni stablecoin'ine yönelik bir flash loan saldırısında 8,5 milyon dolar kaybetti.

Habitatına uyum sağlamak için özelleşen bir tür iyi görünebilir, ancak Platypus’un adaptasyonu daha sudan çıkmadan sona erdi.

Platypus, mevcut stableswap AMM platformuna ek olarak kısa bir süre önce kendi stablecoin'i USP'yi piyasaya sürdü. Ancak lansmandan sadece 10 gün sonra, yeni mekanizma saldırıya uğradı, USP sabit değerini kaybetti ve büyük ölçüde eksik teminatlandırılmış oldu.

Platypus ekibi saldırıyı şöyle duyurdu:

Değerli Topluluğumuz,

Yakın zamanda protokolümüzün saldırıya uğradığını ve saldırganın USP ödeme gücü kontrol mekanizmamızdaki bir kusurdan yararlandığını üzülerek bildiririz. Teminatı tutan sözleşmedeki USP ödeme gücü kontrol mekanizmasındaki bir mantık hatasından yararlanmak için flash loan kullandılar.

Piyasaya sürülmesiyle ilgili yakın tarihli bir duyuruya göre USP, “diğer stablecoin'lerin yaşayabileceği volatiliteye karşı ekstra bir koruma katmanı sağlıyor”.

Darwin ödülüne layık bir açıklama olabilir mi?

Kaynak: Daniel Von Fange, Peckshield

Saldırgan, teminat çekim işlemi sırasında ortaya çıkan hatalı bir kontrol mekanizmasından faydalanarak saldırıyı gerçekleştirdi.

Saldırgan ilk önce Platypus'a yatırılan 44 milyon USDC'lik bir flash loan kullandı. Ortaya çıkan LP tokenları daha sonra 41,7 milyon USP borç almak için teminat olarak kullanıldı.

emergencyWithdraw() fonksiyonu, yalnızca kullanıcının pozisyonunun şu anda ödeme gücüne sahip olup olmadığını kontrol eder, ancak öncelikle herhangi bir borç alınan fonun etkisini kontrol etmeyi ihmal eder. Bu da, saldırganın borç alınan USP'yi elinde tutarken sağlanan teminatı geri çekmesine olanak tanır.

Sonrasında teminat, flash loan’ı ödemek için geri çekildi ve USP, Platypus havuzları üzerinden diğer stabil varlık karşılıklarına (USDC, USDT, DAI, BUSD, vb.) swaplanarak mevcut likiditesini tamamen boşalttı.

Saldırganın adresi: 0xeff003d64046a6f521ba31f39405cb720e953958

Saldırı işlemi: 0x1266a937…

Saldırı kontratı: 0x67afdd6489d40a01dae65f709367e1b1d18a5322/

Saldırgan USP'yi diğer stabillerle swapladığından, saldırı esnasında USP sabit değerinin %50'den fazla aşağısına düştü. Çalınan 8,5 milyon dolar şu an hacker’ın kontratında ve bunun 1,5 milyon dolarlık USDT’si kara listeye alındı bile.

Ganimetlerin dondurulabilir, merkezi stabiller olarak bırakılması (veya muhtemelen sıkışıp kalması) ile birlikte oldukça basit olan bu güvenlik açığı birleştiğinde, bu soygunun nispeten deneyimsiz bir amatör tarafından yapılmış olabileceğini düşündürüyor.

Acaba neden daha az merkezi ve kontrol edilen bir varlığa swaplamıyorsunuz? Ya da fonları köprüleyip Tornado'ya neden göndermiyorsunuz?

Görünen o ki, OPSEC bu hacker’ın pek de ilgi alanı değil.

Sadece birkaç saat sonra, yoldaş platypus ZachXBT, istismarcının işlem geçmişine bağlı ENS adresi üzerinden suçluyu tanımlamayı başardı. Aynı takma ad, artık silinen Twitter ve Instagram hesapları için de kullanılmaktaydı. Platypus ekibi taze doxxed olmuş istismarcıya ulaştı:

Bir ödül ayarlama sürecindeyiz ve hacker’ın çekinmeden bize ulaşmasını istiyoruz. Faydalı bilgiye sahip olan herkesin de bize ulaşmasını memnuniyetle karşılarız.

Sayılardaki güvenlik…

Tıpkı Platypus'un (Ornitorenk) kendisi gibi, DeFi da tuhaf ve benzersiz bir yaratıktır.

Cypherpunk hackerlarından ve finans akrabalığından doğan melez bir tür olan her protokol, doğal seçilim yoluyla hızla ilerlemeli ve ayağa kalkmalıdır.

Dışarısı karanlık vahşi bir orman

...ve tabii ki de, en güçlü olanın hayatta kalacağı bir yer.


bu makaleyi paylaş

REKT, anonim yazarlar için halka açık bir platform olarak hizmet eder, REKT'te bulunan görüşler veya içerik için hiçbir sorumluluk kabul etmiyoruz.

bağış yap (ETH / ERC20): 0x3C5c2F4bCeC51a36494682f91Dbc6cA7c63B514C

sorumluluk reddi:

REKT, Web Sitemizde veya hizmetlerimizle bağlantılı olarak web sitemizin ANON yazarı veya REKT tarafından gönderilen, yayınlanan veya neden olunan hiçbir içerikten hiçbir şekilde sorumlu veya yükümlü değildir. Anon yazarın davranışları ve gönderileri için kurallar sağlamamıza rağmen, onun web sitemizde veya hizmetlerimizde yayınladığı, ilettiği veya paylaştığı şeylerden sorumlu değiliz veya web sitemizde ve hizmetlerimizde karşılaşabileceğiniz herhangi bir saldırgan, uygunsuz, müstehcen, yasa dışı veya başka şekilde sakıncalı olan içerikten sorumlu değiliz. REKT, Web Sitemizin veya Hizmetlerimizin herhangi bir kullanıcısının çevrimiçi veya çevrimdışı davranışlarından sorumlu değildir.