Platypus USD (USP) perdió su paridad con el dólar el jueves luego de una aparente hazaña que permitió que una billetera desviara alrededor de $ 8.5 millones de los fondos de liquidez del token, solo unas semanas después de que Platypus DeFi emitiera la moneda estable.
El presunto hackeo se logró por medio de un préstamo flash, durante el cual un atacante toma un préstamo enorme y lo liquida en el mismo bloque, intercalando transacciones que usan el capital para explotar otros protocolos en el medio. La función de intercambio Platypus en la red se ha desactivado desde el ataque.
“Ha habido un ataque de préstamo flash en USP”, advierte a los usuarios un mensaje anclado en el canal oficial de Platypus Telegram. “Actualmente estamos tratando de evaluar la situación y nos comunicaremos de inmediato al respecto. Por ahora todas las operaciones están en pausa hasta que tengamos más claridad”.
El presunto atacante parece haber obtenido un préstamo flash de $ 44 millones de Aave V3 y, a su vez, acuñó unos 41 millones de tokens Platypus de EE. UU. A continuación, el atacante cobró unos 8.5 millones de dólares en otras monedas estables y devolvió el préstamo flash. Todas estas acciones tuvieron lugar en el mismo bloque de transacciones, en cadena datos espectáculo.
“La vulnerabilidad radica en la verificación de solvencia en la función retiro de emergencia del contrato MasterPlatypusV4”, dijo a The Block la firma de seguridad web3 Certik.
“El control de solvencia no tiene en cuenta el valor de la deuda del usuario. Solo verifica si el monto de la deuda ha alcanzado el límite máximo”, dijo Certik. “Después de que pasa la verificación de solvencia, el contrato permite al usuario retirar todos los activos depositados”.
El historial de préstamo de la dirección del atacante.
Con la liquidez del grupo agotada en el bloque anterior, los 33 millones de tokens restantes residen en la billetera del atacante y no se pueden intercambiar.
USP ahora cotiza alrededor de $ 0.47 después de caer un poco más del 52%.
Gráfico de datos de CoinGecko.
PlatypusDefi no respondió de inmediato a una solicitud de comentarios de The Block.
Fuente: https://www.theblock.co/post/212711/flash-loan-exploit-appears-to-be-behind-platypus-usd-stablecoin-attack?utm_source=rss&utm_medium=rss