8 miljoonan dollarin Platypus Flash -asuntolainan hyökkäys tehtiin tällä koodilla In virheellinen määräys vastauksena Platypus Auditor Omniscian ruumiinavausraporttiin. Tilitoimisto väittää, että ongelmallista koodia ei ollut havaittu mallissa.
Kun otetaan huomioon viimeisin @platypusdefi tapahtumasta https://t.co/30PzcoIJnt Miehistöllä on valmiina ruumiinavaustekninen arviointi, jossa kerrotaan, kuinka hyväksikäyttö löydettiin.
Muista noudattaa @Omniscia_sec saadaksesi ylimääräisiä turvallisuuspäivityksiä!https://t.co/cf784QtKPK pic.twitter.com/egHyoYaBhn
— Omniscia (@Omniscia_sec) Helmikuu 17, 2023
Raportin mukaisesti Platypus MasterPlatypusV4 -sopimus sisälsi "EmergencyWithdraw-mekanismissaan tappavan väärinkäsityksen", joka sai sen "suorittamaan vakavaraisuustutkimuksensa aikaisemmin kuin panospaikkaan liittyvien LP-tokenien päivittäminen".
Raportissa korostettiin, että EmergencyWithdraw-suorituskoodissa oli kaikki tarvittavat komponentit hyökkäyksen pysäyttämiseksi, mutta nämä komponentit on vain kirjoitettu epäkunnossa, kuten Omniscia määritteli:
"Vaikeus olisi voitu estää järjestämällä MasterPlatypusV4::emergencyWithdraw-lausunnot uudelleen ja suorittamalla vakavaraisuustarkistus sen jälkeen, kun kuluttajan määräksi on asetettu 0, mikä olisi voinut estää pahoinpitelyn."
Omnisia myönsi, että he ovat tarkistaneet mallia MasterPlatypusV4-sopimuksesta marraskuun 2021. ja XNUMX. joulukuuta XNUMX välisenä aikana. Siitä huolimatta tämä malli ei sisältänyt "ei integraatiotekijöitä ulkoiseen PlatypusTreasure-järjestelmään" eikä sen jälkeen sisältänyt väärässä paikassa olevia koodikantoja. Omniscian näkökulmasta, mikä tarkoittaa, että rakentajien olisi pitänyt ottaa uusi urakkamalli käyttöön jossain määrittelemättömässä ajassa tulevaisuudessa auditoinnin jälkeen.
liittyvä: Raydium tarjoaa tietoja hakkeroinnista ja ehdottaa korvauksia uhreille
Tilintarkastaja väittää, että sopimuksen toteuttaminen kuuluu Avalanchen (AVAX) C-Chainin kanssa. 0xc007f27b757a782c833c568f5851ae1dfe0e6ec7 on se, jota hyödynnettiin. Tämän sopimuksen kannat 582-584 näyttävät nimeävän suoritusta, joka tunnetaan nimellä isSolvent on the PlatypusTreasure -sopimuksessa, ja ääriviivat 599-601 näyttävät asettavan kuluttajan määrän, lainan ja palkkion velan nollaan. Tästä huolimatta nämä suuret asetetaan nollaan sen jälkeen, kun isSolvent-suorituskyky on jo tunnettu.
Platypus-miehistö vahvistettu 16. helmikuuta, että hyökkääjä havaitsi "virheen [USP:n] Solvenssitarkastusmekanismissa", mutta miehistö ei alun perin esittänyt lisätietoja. Tämä uusi tilintarkastajan raportti kertoo lisää siitä, kuinka hyökkääjän on ehkä kyettävä suorittamaan hyväksikäyttö.
Platypuksen miehistö kertoi 16. helmikuuta, että hyökkäys oli tapahtunut. Se yritti ottaa yhteyttä hakkeriin ja saada varat uudelleen vaihtoehtoisesti bugipalkkiota vastaan. Hyökkääjä käytti flash-lainoja hyväksikäytön toteuttamiseen, mikä on analogista 25. joulukuuta Defrost Finance -hyökkäyksessä käytetyn tekniikan kanssa.
