💬 Как ошибка проверки платежеспособности привела к отмене привязки USP в Platypus Finance на основе Avalanche

Как ошибка проверки платежеспособности привела к отмене привязки USP в Platypus Finance на основе Avalanche

По словам разработчиков, недостаток в ключевом механизме ценообразования привел к тому, что стейблкоин Platypus Finance USP потерял более 50% своей предполагаемой привязки к доллару США ранее в пятницу.

«С сожалением сообщаем вам, что недавно наш протокол был взломан, и злоумышленник воспользовался уязвимостью в нашем механизме проверки платежеспособности USP», — написал Утконос в Твиттере. «Они использовали мгновенный кредит, чтобы использовать логическую ошибку в механизме проверки платежеспособности USP в контракте, содержащем обеспечение».

Механизм проверки платежеспособности обманул смарт-контракты Platypus, ошибочно полагая, что USP полностью обеспечен, как и предполагалось. И тут начался подвиг.

Platypus Finance, как и другие децентрализованные биржи стейблкоинов, полагается на смарт-контракты вместо посредников для дешевого обмена стейблкоинов с низким проскальзыванием. Продукт довольно популярен — по состоянию на четверг он содержит более 50 миллионов долларов в заблокированных токенах.

Как сообщает CoinDesk, в результате атаки в конце рабочего дня США в четверг эксплуататоры использовали атаку мгновенного кредита, чтобы украсть более 8,5 миллионов долларов у Platypus.

Что нужно знать

USP — это тип стабильной монеты. На его цену влияет то, сколько доступно в месте, называемом основным пулом, и когда все больше людей обменивают другие типы цифровых денег на USP, цена может немного снизиться.

Когда в Основном пуле меньше УТП, цена снова поднимается. Чтобы поддерживать стабильную цену на уровне 1 доллара США, с людей, которые одалживают УТП, взимается комиссия, и комиссия увеличивается, когда в основном пуле появляется больше УТП. Это побуждает людей занимать больше или погашать свои долги.

Срочные кредиты — это особый механизм децентрализованного финансирования (DeFi), позволяющий пользователям занимать большие суммы капитала с небольшим залогом, если кредит возвращается в рамках одной и той же транзакции.

Мгновенные кредиты по своей сути не являются плохими: они обычно используются трейдерами, но злоумышленники могут использовать быстрые кредиты, чтобы обманом заставить смарт-контракт протокола манипулировать ценами на пулы ликвидности и завладеть активами этого пула.

Как злоумышленник украл миллионы

Данные блокчейна показывают, что эксплуататор занял более 44 миллионов долларов у кредитной платформы Aave для мгновенного кредита, используя его для обеспечения ликвидности торгового пула на Platypus и обманным путем смарт-контрактов для выпуска токена LP Platypus на 44 миллиона долларов, называемого LP-USDC, взамен. .

Все это произошло за две сделки. Затем эти токены LP были внесены в контракт на стейкинг Platypus, который выпустил 11 000 токенов утконоса (PTP) в качестве вознаграждения за стейкинг.

Злоумышленник также смог получить 41 миллион токенов USP, используя токены LP на сумму 44 миллиона долларов в качестве залога, поскольку Platypus позволяет пользователям занимать стейблкоины USP под свои позиции LP.

Данные блокчейна показывают, что 44 миллиона долларов в виде мгновенного кредита, заимствованного у Aave, использовались для использования Platypus. (Снежный след)

В этот момент злоумышленник вызвал функцию «аварийного вывода» в смарт-контрактах Platypus, чтобы вывести 44 миллиона долларов, первоначально предоставленных в пул ликвидности Platypus. Ошибка проверки платежеспособности в коде не смогла отговорить от такого шага, позволив злоумышленнику вывести токены и погасить флэш-кредит Aave.

Однако система не отозвала 41 миллион токенов USP, которые были выпущены, что, в свою очередь, позволило злоумышленнику обменять их на ликвидность в размере 8,5 миллионов долларов, доступную в то время на Platypus.

По состоянию на пятницу Platypus заявил, что связался со злоумышленником, чтобы договориться о вознаграждении в обмен на возврат средств.

Он добавил, что с соответствующими службами безопасности и криптовалютными биржами связались. «В настоящее время мы работаем с несколькими сторонами, включая Binance, Tether и Circle, чтобы заморозить средства хакера и предотвратить дальнейшие потери. Сейчас USDT заморожен.

Мы также изучаем варианты компенсации и возмещения ущерба пострадавшим инвесторам», — написали разработчики в Твиттере.

USP продолжает терять в цене на момент написания, торгуясь на уровне 47 центов по состоянию на утро пятницы.