PANews 2月17日消息,安全公司CertiK Alert在推特上表示,穩定幣交易項目Platypus在AAVE上遭遇閃電貸攻擊,導致總價值約900萬美元的資產損失。此時,大部分被盜資金仍留在攻擊者的合約地址中,部分資金被發送到EOA和AAVE池中。
CertiK分析稱,漏洞似乎在於emergencyWithdraw函數對MasterPlatypusV4合約的驗證,只有在藉入資產超過借入限額時才會失敗。然後該函數繼續轉移所有用戶的存款資產,而不考慮用戶借入的資產價值。具體過程如下:1.攻擊者將4400萬枚USDC存入Platypus USDC資產(LP-USDC)並獲得4400萬枚LP-USD。攻擊者隨後將LP-USD存入MasterPlatypusV4。2.攻擊者調用函數borrow()在合約platyputreasure中鑄造約4179萬枚USP。這是藉款限額所允許的最高金額,該限額為用戶抵押品的95%。 3.因為攻擊者沒有借入超過95%的上限,isSolvent值返回為“true”,這使得攻擊者能夠調用EmergencyWithdraw函數和全部4400萬枚LP-USDC。 4.攻擊者隨後從Platypus USDC資產(LP-USDC) 中提取了4400萬枚USDC,並開始通過Platypus Finance池將USP換成多種資產。償還閃電貸後,Platypus平台的總損失約為900萬美元。
Platypus就此事在官方電報群中發佈公告稱:“我們目前正在努力評估情況,並將就此及時進行溝通。目前,所有行動都已暫停,直到情況更加明朗。”數據顯示,Platypus項目的原生穩定幣USP已脫錨至0.4785美元。