იდენტიფიცირებულია პოტენციური ეჭვმიტანილი დეცენტრალიზებული ფინანსური პროტოკოლის Platypus-ზე $8.5 მილიონიანი თავდასხმის გამო, რომლის შედეგადაც პროტოკოლიდან 8.5 მილიონი დოლარი ამოიღეს.
ბლოკჩეინის უსაფრთხოების ფირმა CertiK-მა პირველად აცნობა ზვავს დაფუძნებულ სტაბილურ სვოპ პლატფორმაზე ფლეშ სესხის შეტევის შესახებ 16 თებერვალს ტვიტის საშუალებით, სავარაუდო თავდამსხმელის კონტრაქტის მისამართთან ერთად.
CertiK-ის ინფორმაციით, უკვე გადატანილია თითქმის 8.5 მილიონი დოლარი. შედეგად, Platypus USD სტაბილური coin მოშორდა აშშ დოლარს, ჩაშვების 52.2% $0.478-მდე წერის დროს.
ჩვენ ვხედავთ ა #ფლეშსესხი თავდასხმა @Platypusdefi რის შედეგადაც პოტენციური ზარალი იქნება 8.5 მილიონი აშშ დოლარი.
Tx AVAX: 0x1266a937c2ccd970e5d7929021eed3ec593a95c68a99b4920c2efa226679b430
დარჩი ფროსტი! pic.twitter.com/AM2HOM5M2r
— CertiKAlert (@CertiKAlert) თებერვალი 16, 2023
მოგვიანებით Platypus-მა დაადასტურა ჰაკინგი Twitter-ზე, ხოლო Platypus-ის Telegram ჯგუფის მოდერატორმა დაადასტურა, რომ Platypus-მა შეაჩერა ვაჭრობა.
„თავდამსხმელმა გამოიყენა ფლეშ სესხი, რათა გამოეყენებინა ლოგიკური შეცდომა USP-ის გადახდისუნარიანობის შემოწმების მექანიზმში გირაოს შემცველ ხელშეკრულებაში“.
Platypus-მა დაადასტურა "8.5 მილიონი" ზარალი მისი ძირითადი აუზიდან და განაცხადა, რომ დეპოზიტები დაფარულია 85%. სხვა აუზები ზემოქმედებას არ განიცდიდა. კომპანია დაუკავშირდა ჰაკერს თანხების დაბრუნებისთვის ბონუსზე მოსალაპარაკებლად.
Tether Holdings-მა გაყინა მოპარული USDT, ხოლო Platypus-მა მიაღწია Circle-სა და Binance-ს სხვა მოპარული ტოკენების გასაყინად.
ძვირფასო საზოგადოება,
სამწუხაროდ, გაცნობებთ, რომ ჩვენი პროტოკოლი ახლახანს გატეხეს და თავდამსხმელმა ისარგებლა ჩვენი USP გადახდისუნარიანობის შემოწმების მექანიზმის ხარვეზით. მათ გამოიყენეს ფლეშ სესხი, რათა გამოეყენებინათ ლოგიკური შეცდომა USP-ის გადახდისუნარიანობის შემოწმების მექანიზმში გირაოს შემცველ ხელშეკრულებაში.— პლატიპუსი (++) (@Platypusdefi) თებერვალი 17, 2023
კრიპტო „ჯაჭვზე მომუშავე მკვლევარის“ ZachXBT-ის ტვიტერმა გამოიძახა ახლა წაშლილი Twitter ანგარიში, რომელსაც აქვს @retlqw და ამტკიცებს, რომ Platypus-ის მიერ იდენტიფიცირებული მისამართები დაკავშირებულია ანგარიშთან.
„მე მივაკვლიე მისამართებს თქვენს ანგარიშში @Platypusdefi ექსპლოიტიდან და მე ვუკავშირდები მათ გუნდს და ბირჟებს. ჩვენ გვსურს მოლაპარაკება მოვახდინოთ თანხების დაბრუნებაზე, სანამ სამართალდამცავ ორგანოებთან ურთიერთობას შევუდგებით“, - თქვა ZachXBT-მ.
Platypus-ის ოფიციალურმა Twitter ანგარიშმა ასევე გადატვირთა შეტყობინება ZachXBT-ისგან
Hi @retlqw მას შემდეგ, რაც თქვენ გამორთეთ თქვენი ანგარიში მას შემდეგ, რაც მე გამოგიგზავნეთ შეტყობინება.
მე მივაკვლიე მისამართებს თქვენს ანგარიშში @Platypusdefi exploit და მე მაქვს შეხება მათ გუნდთან და გაცვლებთან.
ჩვენ გვსურს მოლაპარაკება მოვახდინოთ თანხების დაბრუნებაზე, სანამ სამართალდამცავ ორგანოებთან ურთიერთობას მივიღებთ. pic.twitter.com/oJdAc9IIkD
- zachxbt (@zachxbt) თებერვალი 17, 2023
ფლეშ შეტევა იგივე მეთოდია გამოყენებული ავი ეიზენბერგის მიერ, როდესაც მან, სავარაუდოდ, ოქტომბერში Mango Markets-ის MNGO მონეტის ფასით მანიპულირება მოახდინა. ეიზენბერგმა ექსპლუატაციის შემდეგ მალევე თქვა, რომ მას სჯეროდა, რომ ”ჩვენი ყველა ქმედება იყო კანონიერი ღია ბაზრის ქმედება, პროტოკოლის გამოყენებით, როგორც შემუშავებული იყო”. ეიზენბერგი თაღლითობის ბრალდებით დააკავეს დეკემბერს.
განახლება 17 თებერვალს, დილის 4:53 საათზე UTC: დამატებულია ტვიტი ZachXBT-ისგან, რომელიც დაკავშირებულია Platypus Flash სესხის თავდამსხმელის შესაძლო ვინაობასთან.
წყარო: https://cointelegraph.com/news/platypus-defi-faces-flash-loan-attack-according-to-certik