تحليل Beosin الموجز للهجوم البالغ 8.5 مليون دولار على مشروع Platypus على سلسلة الانهيار الجليدي

وفقًا لرصد Beosin EagleEye ، وهي شركة تابعة لشركة Beosin ، تعرض عقد مشروع Platypus في سلسلة الانهيارات الجليدية للهجوم بقرض سريع. قام فريق أمان Beosin بالتحليل ووجد أن المهاجم قد اقترض أولاً 44 مليون دولار أمريكي من خلال القرض السريع ثم اتصل وظيفة الإيداع لعقد Platypus Finance للالتزام. يقوم المهاجم بصك نفس مبلغ LP-USDC ، ثم يتعهد كل LP-USDC في المجموعة رقم 4 لعقد MasterPlatypusV4 ، ثم يستدعي وظيفة positionView لاستخدام _borrowLimitUSP دالة لحساب الرصيد القابل للإعارة. ستُرجع الدالة _borrowLimitUSP النسبة المئوية لقيمة العناصر المرهونة في MasterPlatypusV4 كحد أعلى للقرض ، ويتم استخدام قيمة الإرجاع لسحب مبلغ كبير من USP (نقطة ربح ) من خلال وظيفة الاقتراض. نظرًا لأن المهاجم لديه مبلغ كبير من الديون (USP) اقترضه LP-USDC ، فمن المنطقي أن الضمانات لا يمكن سحبها ، ولكن هناك مشكلة في آلية التحقق من وظيفة السحب في حالة الطوارئ من عقد MasterPlatypusV4. يكتشف فقط ما إذا كان مبلغ قرض المستخدم يتجاوز حد الاقتراض الخاص بالمستخدم (حد الاقتراض) دون التحقق مما إذا كان المستخدم قد قام بسداد الدين أم لا ، بحيث نجح المهاجم في استخراج الضمان (44 مليون ليرة لبنانية-دولار أمريكي). بعد سداد قرض فلاش بقيمة 44 مليون دولار أمريكي ، لا يزال لدى المهاجم 41،794،533 USP ، ثم قام المهاجم بتحويل USP المربح إلى العديد من العملات المستقرة بقيمة 8،522،926 دولارًا أمريكيًا. .