Kohustustest loobumine: artiklit on värskendatud, et kajastada, et Omniscia ei auditeerinud MasterPlatypusV4 lepingu versiooni. Selle asemel auditeeris ettevõte 1. novembrist 21. detsembrini 5 MasterPlatypusV2021 lepingu versiooni.
8 miljoni dollari suurune Platypuse kiirlaenurünnak sai võimalikuks vales järjekorras oleva koodi tõttu, vastavalt Platypuse audiitori Omniscia surmajärgsele aruandele. Audiitorfirma väidab, et probleemset koodi nende auditeeritud versioonis ei eksisteerinud.
Viimase valguses @Platypusdefi juhtum https://t.co/30PzcoIJnt meeskond on koostanud tehnilise surmajärgse analüüsi, mis kirjeldab, kuidas ärakasutamine üksikasjalikult lahti harutas.
Järgige kindlasti @Omniscia_sec et saada rohkem turvavärskendusi!https://t.co/cf784QtKPK pic.twitter.com/egHyoYaBhn
— Omniscia (@Omniscia_sec) Veebruar 17, 2023
Aruande kohaselt sisaldas Platypus MasterPlatypusV4 leping hädaolukorra väljavõtmise mehhanismis saatuslikku eksiarvamust, mis pani selle enne panusepositsiooniga seotud LP-märkide värskendamist läbi viima oma maksevõime kontrolli.
Aruandes rõhutati, et hädaolukorra eemaldamise funktsiooni koodil olid kõik rünnaku ärahoidmiseks vajalikud elemendid, kuid need elemendid olid lihtsalt kirjutatud vales järjekorras, nagu selgitas Omniscia:
"Probleemi oleks saanud ennetada MasterPlatypusV4::emergencyWithdraw avaldused uuesti tellides ja maksevõime kontrolli teostades pärast seda, kui kasutaja summa kirjeks on seatud 0, mis oleks rünnaku toimumise keelanud."
Omniscia auditeeris MasterPlatypusV1 lepingu versiooni 21. novembrist 5. detsembrini 2021. Kuid see versioon „ei sisaldanud integratsioonipunkte välise platypusTreasure süsteemiga” ega sisaldanud seetõttu valesti järjestatud koodiridu.
Oluline on märkida, et Omniscia auditi ajal kasutatud koodi ei eksisteerinud. Omniscia seisukoht viitab sellele, et arendajad peavad olema pärast auditi läbiviimist mingil hetkel kasutusele võtnud lepingu uue versiooni.
Seotud: Raydium teatab häkkimise üksikasjad, teeb ettepaneku ohvritele hüvitise maksmiseks
Audiitor väidab, et lepingu rakendamine Avalanche C-Chaini aadressil 0xc007f27b757a782c833c568f5851ae1dfe0e6ec7 on see, mis oli Exploited. Selle lepingu read 582–584 näivad kutsuvat PlatypusTreasure'i lepingus funktsiooni nimega „isSolvent” ja read 599–601 määravad kasutaja summa, teguri ja tasuvõla väärtuseks nulli. Kuid need summad seatakse nulliks pärast seda, kui funktsioon "isSolvent" on juba välja kutsutud.
Platypus meeskond kinnitatud 16. veebruaril, et ründaja kasutas ära USP maksevõime kontrollimise mehhanismi viga, kuid meeskond ei esitanud esialgu rohkem üksikasju. See audiitori uus aruanne heidab täiendavat valgust sellele, kuidas ründaja võis ärakasutamise sooritada.
Platypuse meeskond teatas 16. veebruaril, et rünnak oli toimunud. See on püüdnud häkkeriga ühendust võtta ja saada raha tagasi vea eest. Ründaja kasutatud välklaenud ärakasutamiseks, mis on sarnane rakenduses kasutatud strateegiaga Defrost Finance'i ärakasutamine 25. detsembril 2022.
Allikas: https://cointelegraph.com/news/platypus-attack-exploited-incorrect-ordering-of-code-auditor-claims