「金色财经」2月17日,根据
区块链安全审计公司Beosin的Beosineagleeye安全风险监控、预警和阻断平台监控,Avalanche链上的Platypus项目合同遭到闪电贷款攻击,Beosin安全团队分析发现,攻击者首先通过闪电贷款借出4400万USDC,然后调用Platypusfinance合同的deposit函数进行质押,这将为攻击者铸造等量的LP-USDC,然后攻击者将所有LP-USDC质押到MasterPlatypusv4合同的4号池中,然后调用positionview函数使用_borowlimitusp函数计算贷款余额,_borowlimitusp函数返回攻击者在masterplatypusv4中质押物品价值的百分比作为贷款上限,返回值通过borow函数铸造大量USP(利润点),由于攻击者本身有大量使用LP-USDC贷款的债务(USP),所以在正常逻辑下不应该能够提取质押品,但是MasterplatypusV4合同的emergencywithdraw函数检查机制存在问题,只检查用户的贷款金额是否超过用户的borowlimitUSP(贷款上限),而不检查用户是否偿还债务,攻击者成功提取了质押品(4400万LP)-USDC)。4400万USDC闪电贷款归还后,攻击者还剩下41、794、533USP,然后攻击者将获利的USP兑换成价值8、522、926美元的各种稳定币。4400万USDC闪电贷款归还后,攻击者还剩下41、794、533USP,然后攻击者将盈利的USP兑换成价值8、522、926美元的各种稳定币。