PANews 2月17日消息,安全公司CertiK Alert在推特上表示,稳定币交易项目Platypus在AAVE上遭遇闪电贷攻击,导致总价值约900万美元的资产损失。此时,大部分被盗资金仍留在攻击者的合约地址中,部分资金被发送到EOA和AAVE池中。
CertiK分析称,漏洞似乎在于emergencyWithdraw函数对MasterPlatypusV4合约的验证,只有在借入资产超过借入限额时才会失败。然后该函数继续转移所有用户的存款资产,而不考虑用户借入的资产价值。具体过程如下:1.攻击者将4400万枚USDC存入Platypus USDC资产(LP-USDC)并获得4400万枚LP-USD。攻击者随后将LP-USD存入MasterPlatypusV4。2.攻击者调用函数borrow()在合约platyputreasure中铸造约4179万枚USP。这是借款限额所允许的最高金额,该限额为用户抵押品的95%。3.因为攻击者没有借入超过95%的上限,isSolvent值返回为“true”,这使得攻击者能够调用EmergencyWithdraw函数和全部4400万枚LP-USDC。4.攻击者随后从Platypus USDC资产 (LP-USDC) 中提取了4400万枚USDC,并开始通过Platypus Finance池将USP换成多种资产。偿还闪电贷后,Platypus平台的总损失约为900万美元。
Platypus就此事在官方电报群中发布公告称:“我们目前正在努力评估情况,并将就此及时进行沟通。目前,所有行动都已暂停,直到情况更加明朗。”数据显示,Platypus项目的原生稳定币USP已脱锚至0.4785美元。