უარი პასუხისმგებლობაზე: სტატია განახლდა, რათა აისახოს, რომ Omniscia-მ არ მოახდინა აუდიტი MasterPlatypusV4 კონტრაქტის ვერსიაში. ამის ნაცვლად, კომპანიამ აუდიტი მოახდინა MasterPlatypusV1 კონტრაქტის ვერსიას 21 წლის 5 ნოემბრიდან 2021 დეკემბრამდე.
8 მილიონი დოლარის პლატიპუსის ფლეშ სესხის შეტევა შესაძლებელი გახდა არასწორი თანმიმდევრობის კოდის გამო. მიხედვით პლატიპუსის აუდიტორი Omniscia-ს სიკვდილის შემდგომ დასკვნამდე. აუდიტორული კომპანია ამტკიცებს, რომ პრობლემური კოდი მათ მიერ შემოწმებულ ვერსიაში არ არსებობდა.
ბოლოდროინდელი ფონზე @Platypusdefi ინციდენტი https://t.co/30PzcoIJnt გუნდმა მოამზადა ტექნიკური მოკვლის შემდგომი ანალიზი, სადაც აღწერილია, თუ როგორ მოხდა ექსპლოიტის დეტალები.
დარწმუნდით, რომ დაიცვას @Omniscia_sec მეტი უსაფრთხოების განახლებების მისაღებად!https://t.co/cf784QtKPK pic.twitter.com/egHyoYaBhn
— Omniscia (@Omniscia_sec) თებერვალი 17, 2023
მოხსენების თანახმად, Platypus MasterPlatypusV4 კონტრაქტი „შეიცავდა საბედისწერო მცდარ წარმოდგენას მისი გადაუდებელი ამოღების მექანიზმში“, რამაც აიძულა იგი შეესრულებინა „გადახდისუნარიანობის შემოწმება ფსონთან დაკავშირებული LP ტოკენების განახლებამდე“.
მოხსენებაში ხაზგასმით აღინიშნა, რომ საგანგებო ამოღების ფუნქციის კოდი შეიცავდა ყველა საჭირო ელემენტს თავდასხმის თავიდან ასაცილებლად, მაგრამ ეს ელემენტები უბრალოდ არასწორი თანმიმდევრობით იყო დაწერილი, როგორც Omniscia განმარტა:
„პრობლემის თავიდან აცილება შეიძლებოდა MasterPlatypusV4::emergencyWithdraw განცხადებების ხელახლა შეკვეთით და გადახდისუნარიანობის შემოწმების შემდეგ მომხმარებლის თანხის შეყვანის 0-ზე დაყენების შემდეგ, რაც აკრძალავდა შეტევის განხორციელებას.
Omniscia-მ ჩაატარა MasterPlatypusV1 კონტრაქტის ვერსია 21 წლის 5 ნოემბრიდან 2021 დეკემბრის ჩათვლით. თუმცა, ეს ვერსია „არ შეიცავდა ინტეგრაციის წერტილებს გარე platypusTreasure სისტემასთან“ და, შესაბამისად, არ შეიცავდა კოდის არასწორ ხაზებს.
მნიშვნელოვანია აღინიშნოს, რომ კოდი, რომელიც გამოიყენეს, არ არსებობდა Omniscia-ს აუდიტის დროს. Omniscia-ს თვალსაზრისი გულისხმობს, რომ დეველოპერებს აუდიტის განხორციელების შემდეგ რაღაც მომენტში უნდა ჰქონოდათ ხელშეკრულების ახალი ვერსია.
ამავე თემაზე: Raydium აცხადებს ჰაკერების დეტალებს, სთავაზობს მსხვერპლთა კომპენსაციას
აუდიტორი ირწმუნება, რომ ხელშეკრულების განხორციელება Avalanche C-Chain მისამართზე 0xc007f27b757a782c833c568f5851ae1dfe0e6ec7 არის ის, რაც იყო ექსპლუატაციაში. ამ კონტრაქტის 582–584 ხაზები, როგორც ჩანს, იძახებს ფუნქციას სახელწოდებით „isSolvent“ PlatypusTreasure-ის კონტრაქტზე, ხოლო ხაზები 599–601, როგორც ჩანს, ადგენს მომხმარებლის ოდენობას, ფაქტორს და ჯილდოს, ვალის ნულს. თუმცა, ეს თანხები დაყენებულია ნულზე მას შემდეგ, რაც "isSolvent" ფუნქცია უკვე გამოძახებულია.
პლატიპუსის გუნდი დაადასტურა 16 თებერვალს, რომ თავდამსხმელმა გამოიყენა „[USP] გადახდისუნარიანობის შემოწმების მექანიზმის ხარვეზი“, მაგრამ გუნდმა თავდაპირველად არ მოგვაწოდა დამატებითი დეტალები. აუდიტორის ეს ახალი მოხსენება კიდევ უფრო ნათელს ჰფენს იმაზე, თუ როგორ შეეძლო თავდამსხმელმა ექსპლოიტის განხორციელება.
Platypus-ის გუნდმა 16 თებერვალს გამოაცხადა, რომ შეტევა მოხდა. ის ცდილობდა ჰაკერთან დაკავშირებას და თანხის დაბრუნებას შეცდომების ბონუსის სანაცვლოდ. თავდამსხმელი გამოყენებული ციმციმის სესხები შეასრულოს ექსპლოიტი, რომელიც მსგავსია სტრატეგიაში გამოყენებული Defrost Finance-ის ექსპლუატაცია 25 წლის 2022 დეკემბერს.
წყარო: https://cointelegraph.com/news/platypus-attack-exploited-incorrect-ordering-of-code-auditor-claims