Cómo un error en la verificación de solvencia provocó la desvinculación de la USP de las Finanzas Platypus basadas en Avalanche

Una falla en un mecanismo de precios clave provocó que la moneda estable USP de Platypus Finance perdiera más del 50% de su paridad prevista con el dólar estadounidense el viernes por la mañana, dijeron los desarrolladores.

“Lamentamos informarles que nuestro protocolo fue hackeado recientemente y que el atacante aprovechó una falla en nuestro mecanismo de verificación de solvencia USP”, tuiteó Platypus. “Utilizaron un préstamo rápido para explotar un error lógico en el mecanismo de verificación de solvencia USP del contrato que contiene la garantía”.

El mecanismo de verificación de solvencia engañó a los contratos inteligentes de Platypus, haciéndolos creer erróneamente que la USP estaba completamente respaldada, como estaba previsto. Y ahí es donde comenzó el exploit.

Platypus Finanzas, al igual que otras plataformas de intercambio descentralizadas de stablecoins, utiliza contratos inteligentes en lugar de intermediarios para intercambiar stablecoins a bajo costo y con bajo deslizamiento. El producto es bastante popular, con más de $50 millones en tokens bloqueados hasta el jueves.

Un ataque ocurrido el jueves por la noche en Estados Unidos vio a los explotadores usar un ataque de préstamo flash para robar más de $8.5 millones de Platypus, como CoinDesk reportado.

Cosas que debes saber

USP es un tipo de moneda estable. Su precio se ve afectado por la cantidad disponible en el Pool Principal. Cuando más personas intercambian otros tipos de monedas digitales por USP, el precio puede bajar ligeramente.

Cuando hay menos USP en el Fondo Principal, el precio vuelve a subir. Para KEEP el precio estable a $1, se cobra una comisión a quienes piden prestado USP, la cual aumenta cuando hay más USP en el Fondo Principal. Esto incentiva a las personas a pedir prestado más o a pagar sus deudas.

Los préstamos flash son un mecanismo específico de las Finanzas descentralizadas (DeFi) que permite a los usuarios tomar prestadas grandes cantidades de capital con pocas garantías, siempre que el préstamo se devuelva dentro de la misma transacción.

Los préstamos flash no son inherentemente malos: generalmente los utilizan los comerciantes, pero los actores maliciosos pueden utilizarlos para engañar al contrato inteligente de un protocolo para que manipule los precios de los fondos de liquidez y se apodere de los activos de ese fondo.

Cómo el atacante robó millones

Los datos de blockchain muestran que el explotador tomó prestados más de 44 millones de dólares de la plataforma de préstamos Aave para el préstamo flash, usándolo para suministrar liquidez a un grupo comercial en Platypus y engañando a los contratos inteligentes para que emitieran 44 millones de dólares del token LP de Platypus, llamado LP-USDC, a cambio.

Todo esto ocurrió en dos transacciones. Estos tokens LP se depositaron en un contrato de staking en Platypus, que emitió 11 000 tokens Platypus (PTP) como recompensa por staking.

El atacante también pudo obtener 41 millones de tokens USP utilizando los $44 millones de tokens LP como garantía, ya que Platypus permite a los usuarios tomar prestadas monedas estables USP contra sus posiciones LP.

En ese momento, el atacante activó una función de "retirada de emergencia" en los contratos inteligentes de Platypus para retirar los 44 millones de dólares originalmente aportados al fondo de liquidez de Platypus. El error de verificación de solvencia en el código no impidió tal acción, lo que permitió al atacante retirar los tokens y reembolsar el préstamo flash de Aave .

Sin embargo, el sistema no retiró los 41 millones de tokens USP que se emitieron, lo que a su vez permitió al atacante cambiarlos por los 8,5 millones de dólares en liquidez disponibles en ese momento en Platypus.

Hasta el viernes, Platypus dijo que había contactado al atacante para negociar una recompensa a cambio de la devolución de los fondos.

Añadió que se contactó con las entidades de seguridad y las plataformas de intercambio de Cripto pertinentes. «Actualmente estamos trabajando con varias entidades, como Binance, Tether y Circle, para congelar los fondos del hacker y evitar más pérdidas. Actualmente, el USDT ha sido congelado».

"También estamos explorando opciones de compensación y reembolso para los inversores afectados", tuitearon los desarrolladores.

Las acciones de USP siguen perdiendo valor al momento de escribir este artículo y se cotizan a 47 centavos el viernes por la mañana.