USD:黑客開啟狂飆模式：Platypus閃電貸攻擊，盜走900萬美元-ODAILY_ETH

北京時間2023年2月16日凌晨，Avalanche上的DeFi平臺PlatypusFinance遭遇閃電貸攻擊，被盜走約900萬美元。攻擊者部署了未經驗證的合約，并利用閃電貸消耗了協議中的約900萬美元。

攻擊步驟

三次攻擊，我們將選擇金額最大的用來解析流程：

1.攻擊者將閃電貸獲得的4400萬USDC存入PlatypusUSDC池，并獲得4400萬LP-USDC。

PeckShield征求建議以確定如何發出黑客攻擊警報，大多數用戶支持其標記受影響的協議和交易:8月10日消息，PeckShield稱其檢測到黑客攻擊時發布警報可能會引起人們對黑客的關注并暴露受影響的協議，因此可能會引起爭議，發布投票向社區征求建議，以確定檢測到黑客攻擊時應如何發出警報。當前投票已結束，66.8%的用戶選擇“標記受影響的協議+tx”、18.4%的用戶選擇“Alert TG seal 911 bot”、9.9%的用戶選擇“公開黑客+tx”、4.9%的用戶選擇“僅Xeet匿名黑客”。[2023/8/10 16:18:10]

2.攻擊者將這4400萬LP-USDC存入MasterPlatypusV4。

派盾：攻擊Deus Finance黑客已將約1,100枚ETH和20萬枚DAI轉入Tornado Cash:3月15日消息，派盾（PeckShield）在社交媒體上發布相關交易記錄表示，攻擊DeusFinance黑客已將約1,100枚ETH和20萬枚DAI轉入以太坊隱私交易平臺TornadoCash。此前報道，派盾在社交媒體上提醒，多鏈衍生品協議DeusFinance被監控到在Fantom網絡上被黑客攻擊，黑客共計盜走20萬枚DAI和1,101.8枚ETH，總價值約300萬美元。[2022/3/15 13:58:08]

3.該平臺的借貸限額被設置為95%，這意味著攻擊者最多可以用他們的4400萬LP-USDC借到大約4180萬USP。

動態 | 美國當局起訴兩名黑客 涉嫌攻擊去中心化交易所EtherDelta:據TheBlock消息，美國加州北區檢察官辦公室近日指控Elliot Gunton和Anthony Tyler Nashatka涉嫌在2017年12月入侵建立在以太坊區塊鏈上的去中心化交易所 EtherDelta（以德）。根據起訴書，這兩名黑客修改了EtherDelta的域名系統設置，以欺騙交易所的用戶，獲取他們的加密貨幣地址、私鑰，并從這些加密貨幣地址中提取資金。根據起訴書，這兩名黑客從EtherDelta的一名用戶那里竊取了至少80萬美元的加密貨幣。法庭文件沒有提供黑客竊取的總金額的細節。[2019/9/22]

4.攻擊者在PlatypusTreasure合約中調用了borrow來鑄造大約4180萬USP。

5.由于借來的USP數額沒有超過限額，協議的isSolvent值將總是返回true。

6.由于isSolvent變量為true，攻擊者可以調用EmergencyWithdraw來提取其質押的4400萬LP-USDC全部資金。

7.攻擊者在支付了移除流動性的手續費用后，總共提取了43,999,999,921,036USDC。

8.攻擊者償還了閃電貸款，并以多個穩定幣的形式獲利約850萬美元。

2,425,762USDC

1,946,900USDC.e

1,552,550USDT

1,217,581USDT.e

687,369BUSD

691,984DAI.e

在撰寫本文時，共大約900萬美元被盜。其中攻擊者部署的合約中仍有價值850萬美元的資產；171,000美元在攻擊者的地址；399,400美元在一個Aave池。

漏洞分析

造成該事件的漏洞在于MasterPlatypusV4合約的函數emergencyWithdraw中償付能力檢查出現問題。其償付能力檢查沒有考慮到用戶的負債價值，而只檢查了債務金額是否達到最大限額。償付能力檢查通過后，合約允許用戶提取所有存入的資產。

函數platypusTreasure.isSolvent會返回兩個值。第一個值是solvent，是一個決定了用戶的債務金額是否低于借款限額的布爾值。第二個值debtAmount則顯示用戶所欠的債務金額。

如果用戶的債務額不超過用戶抵押物的95%的借款限額，那么solvent的值將為true。

然而，在emergencyWithdraw函數中，償付能力檢查只驗證了布爾值solvent，而忽略了債務金額。這意味著，如果用戶的債務不超過借款限額，用戶可以調用函數emergencyWithdraw來提取所有存入的抵押品。

通過安全審計，可以發現該設計缺陷問題。

本次事件的預警已于第一時間在CertiK官方推特進行了播報。歡迎大家隨時關注CertiK官方推特，獲取更多與漏洞、黑客襲擊以及RugPull相關的社群預警信息。

Tags：USDUSDCSDCETHPegsUSDusdc幣與usdt幣哪個好usdc幣是什么意思IETHV幣

瑞波幣