Come l'errore di controllo della solvibilità ha portato al depegging dell'USP su Platypus Finanza basato su Avalanche

Un difetto in un meccanismo di determinazione dei prezzi chiave ha portato la stablecoin USP di Platypus Finance a perdere oltre il 50% del suo ancoraggio previsto con i dollari statunitensi venerdì mattina, hanno affermato gli sviluppatori.

"Ci dispiace informarti che il nostro protocollo è stato hackerato di recente e l'aggressore ha sfruttato un difetto nel nostro meccanismo di controllo della solvibilità USP", ha twittato Platypus. "Hanno utilizzato un prestito flash per sfruttare un errore logico nel meccanismo di controllo della solvibilità USP nel contratto che detiene la garanzia".

Il meccanismo di controllo della solvibilità ha ingannato gli smart contract di Platypus facendogli erroneamente credere che USP fosse completamente supportato come previsto. Ed è qui che è iniziato l'exploit.

Platypus Finanza, come altri exchange decentralizzati di stablecoin, si affida a contratti intelligenti anziché a intermediari per scambiare stablecoin a basso costo con un basso slippage. Il prodotto è abbastanza popolare, con oltre 50 milioni di $ in token bloccati a partire da giovedì.

Un attacco avvenuto nelle ultime ore di giovedì negli Stati Uniti ha visto gli sfruttatori utilizzare un attacco flash-loan per rubare oltre 8,5 milioni di dollari da Platypus, come CoinDesk segnalato.

Cose da sapere

USP è un tipo di stablecoin. Il suo prezzo è influenzato da quanto è disponibile in un luogo chiamato Main Pool. Quando più persone scambiano altri tipi di denaro digitale con USP, il prezzo potrebbe scendere leggermente.

Quando c'è meno USP nel Main Pool, il prezzo torna a salire. Per KEEP il prezzo stabile a $1, viene addebitata una commissione alle persone che prendono in prestito USP, e la commissione aumenta quando c'è più USP nel Main Pool. Questo incoraggia le persone a prendere in prestito di più o a ripagare i propri debiti.

I prestiti flash sono un meccanismo specifico Finanza decentralizzata (DeFi) che consente agli utenti di prendere in prestito ingenti somme di capitale con poche garanzie, a condizione che il prestito venga rimborsato nella stessa transazione.

I prestiti flash non sono intrinsecamente negativi: sono generalmente utilizzati dai trader, ma i malintenzionati potrebbero utilizzare i prestiti flash per ingannare lo smart contract di un protocollo, in modo da manipolare i prezzi sui pool di liquidità e impossessarsi delle attività di quel pool.

Come l'aggressore ha rubato milioni

I dati della blockchain mostrano che lo sfruttatore ha preso in prestito oltre 44 milioni di dollari dalla piattaforma di prestito Aave per il prestito flash, utilizzandoli per fornire liquidità a un pool di trading su Platypus e ingannando i contratti intelligenti affinché emettessero in cambio 44 milioni di dollari del token LP di Platypus, denominato LP-USDC.

Tutto ciò è avvenuto in due transazioni. Questi token LP sono stati poi depositati in un contratto di staking su Platypus, che ha emesso 11.000 token platypus (PTP) come ricompensa di staking.

L'attaccante è anche riuscito a ottenere 41 milioni di token USP utilizzando i token LP da 44 milioni di dollari come garanzia, poiché Platypus consente agli utenti di prendere in prestito stablecoin USP a fronte delle loro posizioni LP.

A questo punto, l'attaccante ha chiamato una funzione "emergencywithdraw" sugli smart contract di Platypus per ritirare i 44 milioni di dollari originariamente forniti al pool di liquidità di Platypus. L'errore di controllo della solvibilità nel codice non è riuscito a dissuadere tale mossa, consentendo all'attaccante di ritirare i token e rimborsare il prestito flash Aave .

Tuttavia, il sistema non ha ritirato i 41 milioni di token USP emessi, consentendo a sua volta all'aggressore di scambiarli con gli 8,5 milioni di dollari di liquidità disponibili in quel momento su Platypus.

Venerdì Platypus ha dichiarato di aver contattato l'aggressore per negoziare una ricompensa in cambio della restituzione dei fondi.

Ha aggiunto che sono state contattate le parti interessate alla sicurezza e gli exchange Cripto . "Stiamo attualmente lavorando con diverse parti... tra cui Binance, Tether e Circle, per congelare i fondi dell'hacker e prevenire ulteriori perdite. In questo momento, l' USDT è stato congelato.

"Stiamo anche valutando opzioni di risarcimento e rimborso per gli investitori interessati", hanno twittato gli sviluppatori.

Al momento in cui scriviamo, l'USP continua a perdere valore: venerdì mattina era scambiato a 47 centesimi.