Как ошибка проверки платежеспособности привела к отмене привязки USP к Avalanche-Based Platypus Финансы

Разработчики сообщили, что из-за ошибки в ключевом механизме ценообразования стейблкоин USP компании Platypus Finance ранее в пятницу потерял более 50% от запланированной привязки к доллару США.

«С сожалением сообщаем вам, что наш протокол недавно был взломан, и злоумышленник воспользовался уязвимостью в нашем механизме проверки платежеспособности USP», — написал Platypus в Twitter. «Они использовали флэш-кредит, чтобы воспользоваться логической ошибкой в механизме проверки платежеспособности USP в контракте, удерживающем обеспечение».

Механизм проверки платежеспособности обманул смарт-контракты Platypus, ошибочно полагая, что USP полностью обеспечен, как и предполагалось. И вот тут-то и начался эксплойт.

Platypus Финансы, как и другие децентрализованные биржи стейблкоинов, использует смарт-контракты вместо посредников для дешевого обмена стейблкоинов с низким проскальзыванием. Продукт довольно популярен, по состоянию на четверг в заблокированных токенах находится более 50 миллионов долларов.

По данным CoinDesk, в ходе атаки, произошедшей в четверг вечером в США, злоумышленники использовали атаку с мгновенным кредитованием, чтобы украсть более 8,5 миллионов долларов у Platypus. сообщили.

Что нужно знать

USP — это тип стейблкоина. Его цена зависит от того, сколько доступно в месте, называемом Главным пулом. Когда больше людей обменивают другие типы цифровых денег на USP, цена может немного снизиться.

Когда в основном пуле становится меньше USP, цена снова растет. Чтобы цена KEEP стабильной на уровне $1, с людей, которые берут в долг USP, взимается комиссия, и комиссия увеличивается, когда в основном пуле становится больше USP. Это побуждает людей брать больше в долг или возвращать свои долги.

Мгновенные кредиты — это специфичный для децентрализованного Финансы (DeFi) механизм, позволяющий пользователям брать в долг большие суммы капитала под небольшое обеспечение, при условии, что кредит будет погашен в рамках той же транзакции.

Мгновенные кредиты сами по себе не являются плохими: они, как правило, используются трейдерами, но недобросовестные игроки могут использовать мгновенные кредиты, чтобы обмануть смарт-контракт протокола и манипулировать ценами на пулы ликвидности, а также захватить активы этого пула.

Как злоумышленник украл миллионы

Данные блокчейна показывают, что злоумышленник занял более 44 миллионов долларов у кредитной платформы Aave для получения мгновенного кредита, использовал его для предоставления ликвидности торговому пулу на Platypus и обманом заставил смарт-контракты выпустить взамен токены LP Platypus на сумму 44 миллиона долларов, называемые LP-USDC.

Все это произошло за две транзакции. Затем эти токены LP были внесены в контракт на стейкинг на Platypus, который выпустил 11 000 токенов platypus (PTP) в качестве награды за стейкинг.

Злоумышленник также смог получить 41 миллион токенов USP, используя токены LP на сумму 44 миллиона долларов в качестве залога, поскольку Platypus позволяет пользователям брать в долг стейблкоины USP под залог своих позиций LP.

В этот момент злоумышленник вызвал функцию «emergencywithdraw» на смарт-контрактах Platypus, чтобы вывести $44 млн, изначально предоставленных пулу ликвидности Platypus. Ошибка проверки платежеспособности в коде не смогла помешать такому шагу, что позволило злоумышленнику вывести токены и погасить мгновенный кредит Aave .

Однако система не отозвала 41 миллион выпущенных токенов USP, что в свою очередь позволило злоумышленнику обменять их на ликвидность в размере 8,5 миллионов долларов, имевшуюся на тот момент на Platypus.

По состоянию на пятницу компания Platypus заявила, что связалась с злоумышленником, чтобы договориться о вознаграждении в обмен на возврат средств.

Он добавил, что связались с соответствующими сторонами безопасности и Криптo . «В настоящее время мы работаем с несколькими сторонами… включая Binance, Tether и Circle, чтобы заморозить средства хакера и предотвратить дальнейшие потери. Прямо сейчас USDT заморожен.

«Мы также изучаем варианты компенсации и возмещения расходов пострадавшим инвесторам», — написали застройщики в Twitter.

На момент написания статьи акции USP продолжают терять стоимость, по состоянию на утро пятницы они торгуются на уровне 47 центов.