Platypus USD (USP) kehilangan paritas dolarnya pada hari Kamis setelah eksploitasi nyata yang memungkinkan dompet menyedot sekitar $8.5 juta dari kumpulan likuiditas token, hanya beberapa minggu setelah Platypus DeFi mengeluarkan stablecoin.
Peretasan yang diduga dilakukan melalui eksploitasi flash loan, di mana penyerang mengambil pinjaman yang sangat besar dan menyelesaikannya di blok yang sama, mengapit transaksi yang menggunakan modal untuk mengeksploitasi protokol lain di antaranya. Fungsi pertukaran Platypus di jaringan telah dinonaktifkan sejak serangan itu.
“Telah terjadi serangan flash-loan pada USP,” sebuah pesan yang disematkan di saluran Telegram resmi Platypus memperingatkan para pengguna. “Saat ini kami sedang mencoba menilai situasi dan akan segera mengomunikasikannya. Untuk saat ini semua operasi dihentikan sementara sampai kami mendapatkan kejelasan lebih lanjut.”
Penyerang yang diduga tampaknya telah mengambil pinjaman flash $44 juta dari Aave V3, dan pada gilirannya mencetak sekitar 41 juta token Platipus AS. Selanjutnya, penyerang mencairkan sekitar $8.5 juta ke dalam stablecoin lain, dan membayar kembali flash loan. Semua tindakan ini terjadi di blok transaksi yang sama, on-chain data acara.
“Kerentanannya terletak pada pemeriksaan solvabilitas dalam fungsi penarikan darurat dari kontrak MasterPlatypusV4,” kata firma keamanan web3 Certik kepada The Block.
“Pemeriksaan solvabilitas tidak memperhitungkan nilai utang pengguna. Hanya mengecek apakah jumlah utang sudah mencapai batas maksimal,” kata Certik. “Setelah pemeriksaan solvabilitas lolos, kontrak memungkinkan pengguna untuk menarik semua aset yang disimpan.”
Riwayat peminjaman alamat penyerang.
Dengan likuiditas kumpulan terkuras di blok sebelumnya, sisa 33 juta token berada di dompet penyerang, tidak dapat diperdagangkan.
USP sekarang diperdagangkan sekitar $0.47 setelah turun lebih dari 52%.
Grafik data dari CoinGecko.
PlatypusDefi tidak segera menanggapi permintaan komentar dari The Block.
Sumber: https://www.theblock.co/post/212711/flash-loan-exploit-appears-to-be-behind-platypus-usd-stablecoin-attack?utm_source=rss&utm_medium=rss