Platypus Flash-bolåneanfallet på 8 miljoner dollar gjordes möjligt med denna kod In den felaktiga ordningen, som svar på en obduktionsrapport från Platypus auditor Omniscia. Redovisningsbyrån hävdar att den problematiska koden inte fanns inom den modell de märkte.
Med tanke på det senaste @platypusdefi incident av https://t.co/30PzcoIJnt Besättningen har förberett en teknisk obduktionsutvärdering som beskriver hur exploateringen hittades.
Kom ihåg att följa @Omniscia_sec för att få extra säkerhetsuppdateringar!https://t.co/cf784QtKPK pic.twitter.com/egHyoYaBhn
— Omniscia (@Omniscia_sec) Februari 17, 2023
I linje med rapporten innehöll Platypus MasterPlatypusV4-kontraktet "ett dödligt missförstånd i dess EmergencyWithdraw-mekanism" som fick den att "utföra sin solvensundersökning tidigare än att uppdatera LP-tokens relaterade till insatsplatsen."
Rapporten betonade att koden för EmergencyWithdraw-utförandet hade alla nödvändiga komponenter för att stoppa en attack, men dessa komponenter har bara skrivits ur funktion, som Omniscia definierade:
"Svårigheten kan ha förhindrats genom att beställa MasterPlatypusV4::emergencyWithdraw-utdragen och använda solvensundersökningen efter att ha ställt in konsumentens kvantitets-enter till 0, vilket kan ha förhindrat överfallet."
Omnisia medgav att de har granskat en modell av MasterPlatypusV4-kontraktet från den tjugoförsta november till den femte december 2021. Ändå innehöll denna modell "inga integrationsfaktorer med ett yttre PlatypusTreasure-system" och inkluderade därefter inte de felplacerade kodstammarna. Ur Omniscias perspektiv, vilket innebär att byggherrarna borde ha implementerat en helt ny modell av kontraktet under en ospecificerad tid i framtiden efter revisionen.
Associerad: Raydium ger information om hacket och föreslår kompensation till offren
Revisorn hävdar att genomförandet av kontraktet ligger hos Avalanche (AVAX) C-Chain-affär med 0xc007f27b757a782c833c568f5851ae1dfe0e6ec7 är den som togs nytta av. Stamm 582-584 i detta kontrakt tycks nämna en prestation som kallas isSolvent på PlatypusTreasure-kontraktet, och konturerna 599-601 verkar sätta konsumentens kvantitet, emission och belöningsskuld till noll. Dessa kvantiteter sätts dock till noll efter att isSolvent-prestanda redan har varit känd som.
Platypus-besättningen bekräftade den 16 februari att angriparen upptäckte en "bugg i USP Solvency Examine Mechanism", men besättningen presenterade till en början inga ytterligare data. Denna nya revisionsrapport ger ytterligare försiktighet om hur angriparen kan behöva vara kapabel att utföra utnyttjandet.
Platypus-besättningen presenterade den 16 februari att överfallet hade ägt rum. Den försökte kontakta hackern och få pengarna igen som alternativ för en buggpremie. Angriparen använde flashlån för att utföra exploateringen, vilket är analogt med tekniken som användes inom exploateringen av Defrost Finance den 25 december.
