Platypus Flash-angrebet på $8 millioner blev gjort muligt med denne kode In den fejlbehæftede rækkefølge, som svar på en obduktionsrapport fra Platypus auditor Omniscia. Regnskabskontoret hævder, at den problematiske kode ikke fandtes inden for den model, de bemærkede.
Givet den seneste @platypusdefi hændelse af https://t.co/30PzcoIJnt Besætningen har klar en teknisk obduktionsvurdering, der beskriver, hvordan udnyttelsen blev fundet.
Husk at overholde @Omniscia_sec for at få ekstra sikkerhedsopdateringer!https://t.co/cf784QtKPK pic.twitter.com/egHyoYaBhn
— Omniscia (@Omniscia_sec) Februar 17, 2023
I overensstemmelse med rapporten indeholdt Platypus MasterPlatypusV4-kontrakten "en dødbringende misforståelse i dens EmergencyWithdraw-mekanisme", der fik den til at "udføre sin solvensundersøgelse tidligere end at opdatere LP-tokenserne relateret til indsatsen."
Rapporten understregede, at koden for EmergencyWithdraw-udførelsen havde alle de nødvendige komponenter til at stoppe et overfald, men disse komponenter er blot blevet skrevet ud af funktion, som Omniscia definerede:
"Vanskeligheden kunne være blevet forhindret ved at genbestille MasterPlatypusV4::emergencyWithdraw-opgørelserne og betjene solvensundersøgelsen efter at have sat forbrugerens mængde-enter til 0, hvilket kunne have forhindret overfaldet."
Omnisia indrømmede, at de har gennemgået en model af MasterPlatypusV4-kontrakten fra den første og tyvende november til den femte december 2021. Ikke desto mindre indeholdt denne model "ingen integrationsfaktorer med et udvendigt PlatypusTreasure-system" og inkluderede efterfølgende ikke de malplacerede kodestammer. Fra Omniscias perspektiv, hvilket betyder, at bygherrerne burde have implementeret en helt ny model af kontrakten på et uspecificeret tidspunkt i fremtiden efter revisionen.
Tilknyttet: Raydium giver oplysninger om hacket og foreslår erstatning til ofrene
Revisor hævder, at udførelsen af kontrakten ligger hos Avalanche (AVAX) C-Chain aftale med 0xc007f27b757a782c833c568f5851ae1dfe0e6ec7 er den, der blev udnyttet. Stamme 582-584 i denne kontrakt synes at nævne en optræden kendt som isSolvent på PlatypusTreasure-kontrakten, og konturerne 599-601 synes at sætte forbrugerens mængde, udstedelse og belønningsgæld til nul. Ikke desto mindre er disse mængder sat til nul, efter at isSolvent-performen allerede er blevet kendt som.
Platypus-besætningen bekræftet den 16. februar, at angriberen opdagede en "fejl i [the] USP Solvency Examine Mechanism", men besætningen fremlagde i første omgang ingen yderligere data. Denne nye revisionsrapport kaster yderligere blid om, hvordan angriberen muligvis har været i stand til at udføre udnyttelsen.
Platypus-besætningen introducerede den 16. februar, at overfaldet havde fundet sted. Det forsøgte at kontakte hackeren og få midlerne igen som alternativ for en bug-bounty. Angriberen brugte flashlån til at udføre udnyttelsen, hvilket er analogt med den teknik, der blev brugt i Defrost Finance-udnyttelsen den 25. december.
