Beosin:Avalancheチェーン上のPlatypusプロジェクト損失850万ドル攻撃事件解析

2023-02-17 11:40:17
コレクション

ChainCatcher のメッセージによると、ブロックチェーンセキュリティ監査会社 Beosin の Beosin EagleEye セキュリティリスク監視、警告および阻止プラットフォームの監視によれば、Avalanche チェーン上の Platypus プロジェクトの契約がフラッシュローン攻撃を受けました。Beosin セキュリティチームの分析によると、攻撃者はまずフラッシュローンで 4400 万 USDC を借りた後、Platypus Finance 契約の deposit 関数を呼び出してステーキングを行いました。この関数は攻撃者に等量の LP-USDC を鋳造します。その後、攻撃者はすべての LP-USDC を MasterPlatypusV4 契約の 4 番プールにステーキングし、positionView 関数を呼び出して borrowLimitUSP 関数を利用して借入可能残高を計算しました。borrowLimitUSP 関数は、攻撃者が MasterPlatypusV4 にステーキングした資産の価値のパーセンテージを借入上限として返します。この返り値を利用して borrow 関数を通じて大量の USP(利益ポイント)を鋳造しました。

攻撃者自身が LP-USDC を利用して借り入れた大量の債務(USP)を抱えているため、通常の論理では担保を引き出すことはできないはずですが、MasterPlatypusV4 契約の emergencyWithdraw 関数のチェックメカニズムに問題があり、ユーザーの借入額がそのユーザーの borrowLimitUSP(借入上限)を超えているかどうかのみを検査し、ユーザーが債務を返済しているかどうかを確認していなかったため、攻撃者は担保(4400 万 LP-USDC)を成功裏に引き出しました。

4400 万 USDC のフラッシュローンを返済した後、攻撃者は 41,794,533 USP を残し、その後攻撃者は利益を得た USP を 8,522,926 ドル相当のさまざまなステーブルコインに交換しました。

ChainCatcherは、広大な読者の皆様に対し、ブロックチェーンを理性的に見るよう呼びかけ、リスク意識を向上させ、各種仮想トークンの発行や投機に注意することを提唱します。当サイト内の全てのコンテンツは市場情報や関係者の見解であり、何らかの投資助言として扱われるものではありません。万が一不適切な内容が含まれていた場合は「通報」することができます。私たちは迅速に対処いたします。
banner
チェーンキャッチャー イノベーターとともにWeb3の世界を構築する