ENT:黑客開啟狂飆模式：Platypus閃電貸攻擊，盜走900萬美元_usdc幣市值減少

北京時間?2023?年?2?月?16?日凌晨，Avalanche?上的?DeFi?平臺Platypus?Finance遭遇閃電貸攻擊，被盜走約900?萬美元。攻擊者部署了未經驗證的合約，并利用閃電貸消耗了協議中的約?900?萬美元。

攻擊步驟

三次攻擊，我們將選擇金額最大的用來解析流程：

1.攻擊者將閃電貸獲得的?4400?萬?USDC?存入?PlatypusUSDC?池，并獲得?4400?萬LP-USDC。

2.攻擊者將這?4400?萬?LP-USDC?存入?MasterPlatypusV?4?。

Web3投注平臺Dexsport遭黑客攻擊損失價值40萬美元的BUSD:12月7日消息，Web3投注平臺Dexsport披露因遭黑客攻擊已損失價值40萬美元的BUSD，但智能合約沒有受到影響。據稱，黑客利用鏈下漏洞攻擊了該平臺，該漏洞與處理存款的唯一交易標識符“大小寫記錄”有關，目前相關漏洞已經修復，提款和存款也已恢復，損失資金為平臺自有資金，不涉及客戶資金。（newsbtc）[2022/12/7 21:29:14]

3.該平臺的借貸限額被設置為?95%?，這意味著攻擊者最多可以用他們的?4400?萬?LP-USDC?借到大約?4180?萬?USP。

阿根廷政府拒絕向攻擊移民局的黑客支付400萬美元比特幣贖金:黑客近期攻擊了阿根廷的移民系統，要求阿根廷政府支付價值400萬美元的比特幣贖金，導致跨境移民活動暫時癱瘓。但阿根廷政府拒絕與黑客談判，也不會支付贖金。據當地媒體Infobae報道，官員們表示，網絡犯罪分子“沒有攻擊移民局的關鍵基礎設施”，也沒有竊取任何敏感信息，無論是個人的還是公司的。此前消息，根據阿根廷網絡犯罪機構公布的一份刑事起訴書，阿根廷國家移民局在8月27日遭到了勒索軟件攻擊后，隨后暫停過境四個小時。據稱，黑客通過利用加密病NetWalker進入數據庫并從聯邦機構竊取信息。勒索軟件說明中鏈接的暗網支付頁面顯示，黑客最初支付價值200萬美元的比特幣來解鎖文件，在一周之內，這個數字已增加到355 BTC（按當前匯率計算約400萬美元）。此前報道稱，NetWalker勒索軟件已從受害者手中勒索2500萬美元的比特幣。[2020/9/9]

4.攻擊者在?PlatypusTreasure?合約中調用了borrow來鑄造大約?4180?萬?USP。

電子巨頭LG和三菱海量數據或因黑客攻擊遭泄露:有兩個勒索軟件團伙攻擊電子巨頭LG和日本跨國汽車制造商三菱集團，黑客正在威脅這兩家公司支付贖金，否則將會泄露相關數據。勒索軟件團伙聲稱已經竊取40GB以上源代碼，包括擁有LG旗下一種或多種產品（也許是手機）源代碼，這可能會對使用這項設備用戶帶來安全隱患。（cointelegraph）[2020/6/27]

5.由于借來的?USP?數額沒有超過限額，協議的isSolvent值將總是返回?true。

6.由于isSolvent變量為?true，攻擊者可以調用EmergencyWithdraw來提取其質押的?4400?萬?LP-USDC?全部資金。

7.攻擊者在支付了移除流動性的手續費用后，總共提取了?43,?999,?999,?921,?036USDC。

8.攻擊者償還了閃電貸款，并以多個穩定幣的形式獲利約?850?萬美元。

2,?425,?762USDC

1,?946,?900USDC.e?

1,?552,?550USDT

1,?217,?581USDT.e

687,?369BUSD

691,?984DAI.e?

在撰寫本文時，共大約?900?萬美元被盜。其中攻擊者部署的合約中仍有價值?850?萬美元的資產；171,?000?美元在攻擊者的地址；399,?400?美元在一個?Aave?池。

漏洞分析

造成該事件的漏洞在于?MasterPlatypusV?4?合約的函數emergencyWithdraw中償付能力檢查出現問題。其償付能力檢查沒有考慮到用戶的負債價值，而只檢查了債務金額是否達到最大限額。償付能力檢查通過后，合約允許用戶提取所有存入的資產。

函數platypusTreasure.isSolvent會返回兩個值。第一個值是solvent，是一個決定了用戶的債務金額是否低于借款限額的布爾值。第二個值debtAmount則顯示用戶所欠的債務金額。

如果用戶的債務額不超過用戶抵押物的?95%?的借款限額，那么solvent的值將為?true。

然而，在emergencyWithdraw函數中，償付能力檢查只驗證了布爾值solvent，而忽略了債務金額。這意味著，如果用戶的債務不超過借款限額，用戶可以調用函數emergencyWithdraw來提取所有存入的抵押品。

通過安全審計，可以發現該設計缺陷問題。

本次事件的預警已于第一時間在?CertiK?官方推特進行了播報。歡迎大家隨時關注?CertiK?官方推特，獲取更多與漏洞、黑客襲擊以及?RugPull?相關的社群預警信息。

Tags：USDUSDCSDCENTTUSD幣AUSDC幣usdc幣市值減少PLENTYCOIN

芝麻開門交易所下載