Verzichterklärung: Den Artikel gouf aktualiséiert fir ze reflektéieren datt Omniscia keng Versioun vum MasterPlatypusV4 Kontrakt kontrolléiert huet. Amplaz huet d'Firma eng Versioun vum MasterPlatypusV1 Kontrakt vum 21. November bis 5. Dezember 2021 iwwerpréift.
Den $ 8 Milliounen Platypus Flash Prêt Attack gouf méiglech gemaach wéinst Code deen an der falscher Uerdnung war, no zu engem Post-mortem Rapport vum Platypus Auditeur Omniscia. D'Auditfirma behaapt datt de problematesche Code net an der Versioun existéiert huet déi se iwwerpréift hunn.
Am Liicht vun der rezent @Platypusdefi Tëschefall der https://t.co/30PzcoIJnt D'Team huet eng technesch Post-mortem Analyse virbereet, déi beschreift wéi den Exploit a groussen Detailer entfalen.
Gitt sécher ze verfollegen @Omniscia_sec fir méi Sécherheetsupdates ze kréien!https://t.co/cf784QtKPK pic.twitter.com/egHyoYaBhn
— Omniscia (@Omniscia_sec) Februar 17, 2023
Laut dem Bericht huet de Platypus MasterPlatypusV4 Kontrakt "e fatale Mëssverständnis a sengem Noutzuchmechanismus enthale", wat et gemaach huet "seng Solvabilitéitskontroll auszeféieren ier d'LP Tokens verbonne mat der Aktionär Positioun aktualiséiert ginn."
De Bericht huet betount datt de Code fir d'NoutWithdraw Funktioun all déi néideg Elementer huet fir en Attack ze vermeiden, awer dës Elementer goufen einfach an der falscher Uerdnung geschriwwen, wéi Omniscia erkläert:
"D'Thema konnt verhënnert ginn andeems Dir de MasterPlatypusV4 :: EmergencyWithdraw Aussoen nei bestallt an d'Solvabilitéitskontroll ausféiert nodeems d'Betrag vum Benotzer op 0 gesat gouf, wat den Attack verbueden hätt ze stattfannen."
Omniscia iwwerpréift eng Versioun vum MasterPlatypusV1 Kontrakt vum 21. November bis 5. Dezember 2021. Allerdéngs huet dës Versioun "keng Integratiounspunkte mat engem externen PlatypusTreasure System" enthalen an dofir net déi falsch bestallt Codelinnen enthalen.
Et ass wichteg ze notéieren datt de Code deen exploitéiert gouf net existéiert zum Zäitpunkt vum Omniscia Audit. Dem Omniscia seng Siicht implizéiert datt d'Entwéckler eng nei Versioun vum Kontrakt irgendwann no der Audit gemaach hunn.
Verbonnen: Raydium annoncéiert Detailer vun Hack, proposéiert Kompensatioun fir Affer
Den Auditeur behaapt datt d'Ëmsetzung vum Kontrakt bei Avalanche C-Chain Adress 0xc007f27b757a782c833c568f5851ae1dfe0e6ec7 deen ass exploitéiert. D'Linnen 582–584 vun dësem Kontrakt schéngen eng Funktioun mam Numm "isSolvent" am PlatypusTreasure Kontrakt ze nennen, an d'Linnen 599–601 schéngen de Betrag, Faktor a Belounung vum Benotzer op Null ze setzen. Wéi och ëmmer, dës Zomme ginn op Null gesat nodeems d'"isSolvent" Funktioun scho genannt gouf.
D'Team Platypus bestätegt gouf de 16. Februar datt den Ugräifer e "Feel am [de] USP Solvabilitéitskontrollmechanismus exploitéiert", awer d'Team huet am Ufank net weider Detailer ginn. Dësen neie Bericht vum Auditeur werft weider Liicht op wéi den Ugräifer den Ausbeutung konnt erreechen.
D'Platypus-Team huet de 16. Februar ugekënnegt datt de Attack geschitt ass. Et huet probéiert den Hacker ze kontaktéieren an d'Fongen zréck ze kréien am Austausch fir e Bug Bounty. Den Ugräifer benotzt flashed Prêten d'Ausbeutung auszeféieren, déi ähnlech ass wéi d'Strategie benotzt an der Defrost Finance exploit den 25. Dezember 2022.
Quell: https://cointelegraph.com/news/platypus-attack-exploited-incorrect-ordering-of-code-auditor-claims