Platypus 遭閃電貸攻擊，盜走900萬美元_USD:1usdc幣是多少人民幣

北京時間2023年2月16日凌晨，Avalanche上的DeFi平臺Platypus?Finance遭遇閃電貸攻擊，被盜走約900萬美元。攻擊者部署了未經驗證的合約，并利用閃電貸消耗了協議中的約900萬美元。

攻擊步驟

三次攻擊，我們將選擇金額最大的用來解析流程：

1.攻擊者將閃電貸獲得的4400萬USDC存入PlatypusUSDC池，并獲得4400萬LP-USDC。

Vitalik Buterin：比特幣若希望進一步發展，需測試更多擴展解決方案:7月10日消息，以太坊創始人Vitalik Buterin本周在Twitter Space上表示，“如果我們希望比特幣不僅僅作為支付方式，它需要像Plasma或ZK Rollup這樣的擴展解決方案。而這兩種方案都已經在以太坊上測試過”。他還表示，Optimism和Arbitrum是兩個成功的Rollup，可以作為比特幣的案例研究。Buterin還試圖找出以太坊和比特幣兩個生態系統的共性。他指出，兩個區塊鏈都具有不變性，同時它們都存在L1隱私問題。多年來，以太坊一直在嘗試多種擴展解決方案，最新提案為EIP-4844，它引入了blob，每秒可實現多達10萬次交易。

?[2023/7/10 10:12:34]

2.攻擊者將這4400萬LP-USDC存入MasterPlatypusV4。

TON加速器計劃今年將撥款2500萬美元用于推進生態系統建設:5月22日消息，據TON Community官方頻道，TON加速器計劃今年將撥款2500萬美元用于推進生態系統建設，資金將由 TONcoin.Fund 提供，這是一個價值 2.5 億美元的基于 TON 的基金，致力于支持創始人，并將流入各種關鍵項目，特別關注去中心化金融 (DeFi)。 每個項目將獲得 50,000 至 250,000 美元的資金。除了資金外，每項投資還將獲得加速器合作伙伴的合作和指導。

本輪資金支持最初選擇的項目將集中于那些參加了 Hack-a-TONx DoraHacks 的項目，這是與 DoraHacks 合作組織的為期兩個月的虛擬黑客馬拉松。建立在 TON 之上（即支持 TVM 和 TON 智能合約語言）的項目均可提交早期資助申請。[2023/5/22 15:19:18]

3.該平臺的借貸限額被設置為95%，這意味著攻擊者最多可以用他們的4400萬LP-USDC借到大約4180萬USP。

Onramp開始使用CoinDesk指數來創建定制的投資組合:4月19日消息，數字資產財富管理公司Onramp Invest已開始使用CoinDesk指數來創建定制的投資組合。財務顧問將能夠使用Onramp的市場訪問CDI的指數，為具有不同偏好和風險承受能力的客戶提供定制化選擇。上線Onramp平臺的指數包括CoinDesk Market Select Index（CMIS）、CoinDesk DeFi Select Index（DFX）和 CoinDesk Currency Select Index（CCYS）。[2023/4/19 14:14:23]

4.攻擊者在PlatypusTreasure合約中調用了borrow來鑄造大約4180萬USP。

5.由于借來的USP數額沒有超過限額，協議的isSolvent值將總是返回true。

6.由于isSolvent變量為true，攻擊者可以調用EmergencyWithdraw來提取其質押的4400萬LP-USDC全部資金。

7.攻擊者在支付了移除流動性的手續費用后，總共提取了43,999,999,921,036USDC。

8.攻擊者償還了閃電貸款，并以多個穩定幣的形式獲利約850萬美元。

2,425,762USDC1,946,900USDC.e?1,552,550USDT1,217,581USDT.e687,369BUSD691,984DAI.e?在撰寫本文時，共大約900萬美元被盜。其中攻擊者部署的合約中仍有價值850萬美元的資產；171,000美元在攻擊者的地址；399,400美元在一個Aave池。

漏洞分析

造成該事件的漏洞在于MasterPlatypusV4合約的函數emergencyWithdraw中償付能力檢查出現問題。其償付能力檢查沒有考慮到用戶的負債價值，而只檢查了債務金額是否達到最大限額。償付能力檢查通過后，合約允許用戶提取所有存入的資產。

函數platypusTreasure.isSolvent會返回兩個值。第一個值是solvent，是一個決定了用戶的債務金額是否低于借款限額的布爾值。第二個值debtAmount則顯示用戶所欠的債務金額。

如果用戶的債務額不超過用戶抵押物的95%的借款限額，那么solvent的值將為true。

然而，在emergencyWithdraw函數中，償付能力檢查只驗證了布爾值solvent，而忽略了債務金額。這意味著，如果用戶的債務不超過借款限額，用戶可以調用函數emergencyWithdraw來提取所有存入的抵押品。

Tags：USDSDCUSDCINDusdt幣提現到銀行卡會凍結嗎1usdc幣是多少人民幣usdc幣是什么幣Mind Music

波場