当前位置:首页 > 快讯 >

「ForesightNews」Beosin 简析 Avalanche 链上 Platypus 项目损失 850 万美元攻击事件

「ForesightNews」Foresightnews消息,根据Beosin的Beosineagleye监控,Avalanche链上的Platypus项目合同遭到闪电贷款攻击,Beosin安全团队分析发现攻击者首先通过闪电贷款借出4400万USDC,然后调用Platypusfinance合同的deposit函数质押,该函数将为攻击者铸造等量的LP-USDC,然后攻击者将所有LP-USDC质押到MasterPlatypusv4合同的4号池中,然后调用positionview函数使用_borowlimitusp函数计算贷款余额,_borowlimitusp函数将返回攻击者在masterplatypusv4中质押物品价值的百分比作为贷款上限,并通过borow函数使用返回值铸造大量usp(利润点),因为攻击者本身有大量使用lp-usdc贷款的债务(USP),在正常逻辑下,质押品不应提取,然而,Masterplatypusv4合同的emergencywithdraw函数检查机制存在问题,只检查用户的贷款金额是否超过用户的borowlimitusp(贷款上限),而不检查用户是否偿还债务,攻击者成功提取了质押品(4400万LP)-USDC)。4400万USDC闪电贷款归还后,攻击者还剩下41、794、533USP,然后攻击者将获利的USP兑换成价值8、522、926美元的各种稳定币。4400万USDC闪电贷款归还后,攻击者还剩下41、794、533USP,然后攻击者将盈利的USP兑换成价值8、522、926美元的各种稳定币。

猜你喜欢

微信二维码

微信