Panteangrepet på $8 millioner Platypus Flash ble gjort mulig med denne koden In den defekte rekkefølgen, som svar på en obduksjonsrapport fra Platypus-revisor Omniscia. Regnskapsbyrået hevder at den problematiske koden ikke fantes innenfor modellen de la merke til.
Gitt det siste @platypusdefi hendelse av https://t.co/30PzcoIJnt Mannskapet har klar en teknisk obduksjonsevaluering som beskriver hvordan utnyttelsen ble funnet.
Husk å overholde @Omniscia_sec for å få ekstra sikkerhetsoppdateringer!https://t.co/cf784QtKPK pic.twitter.com/egHyoYaBhn
— Omniscia (@Omniscia_sec) Februar 17, 2023
I tråd med rapporten inneholdt Platypus MasterPlatypusV4-kontrakten "en dødelig misforståelse i sin EmergencyWithdraw-mekanisme" som fikk den til å "utføre solvensundersøkelsen tidligere enn å oppdatere LP-tokenene knyttet til innsatsplassen."
Rapporten understreket at koden for EmergencyWithdraw-utførelsen hadde alle nødvendige komponenter for å stoppe et overfall, men disse komponentene har bare blitt skrevet ut av drift, som Omniscia definerte:
"Vanskeligheten kan ha blitt forhindret ved å ombestille MasterPlatypusV4::emergencyWithdraw-uttalelsene og bruke solvensundersøkelsen etter å ha satt forbrukerens mengde enter til 0, noe som kan ha forhindret overgrepet."
Omnisia innrømmet at de har gjennomgått en modell av MasterPlatypusV4-kontrakten fra tjueførste november til femte desember 2021. Ikke desto mindre inneholdt denne modellen "ingen integreringsfaktorer med et utvendig PlatypusTreasure-system" og inkluderte deretter ikke feilplasserte kodestammer. Fra Omniscias perspektiv, noe som betyr at byggherrene burde ha implementert en helt ny modell av kontrakten på et uspesifisert tidspunkt i fremtiden etter revisjonen.
Assosiert: Raydium tilbyr detaljer om hacket og foreslår erstatning til ofrene
Revisor hevder at utførelsen av kontrakten ligger hos Avalanche (AVAX) C-Chain avtale med 0xc007f27b757a782c833c568f5851ae1dfe0e6ec7 er den som ble utnyttet. Stammene 582-584 i denne kontrakten ser ut til å nevne en ytelse kjent som isSolvent på PlatypusTreasure-kontrakten, og konturene 599-601 ser ut til å sette forbrukerens mengde, utstedelse og belønningsgjeld til null. Ikke desto mindre settes disse mengdene til null etter at isSolvent-ytelsen allerede er kjent som.
Platypus-mannskapet bekreftet 16. februar at angriperen oppdaget en "feil i USP Solvency Examine Mechanism", men mannskapet presenterte i utgangspunktet ingen tilleggsdata. Denne nye revisjonsrapporten gir ytterligere beskjed om hvordan angriperen måtte være i stand til å utføre utnyttelsen.
Platypus-mannskapet introduserte 16. februar at overfallet hadde funnet sted. Den prøvde å kontakte hackeren og få pengene igjen i alternativ for en bug-bounty. Angriperen brukte flash-lån for å utføre utnyttelsen, som er analog med teknikken som ble brukt i Defrost Finance-utnyttelsen 25. desember.