Жоопкерчиликтен баш тартуу: Макала Omniscia MasterPlatypusV4 келишиминин версиясын текшербегендигин чагылдыруу үчүн жаңыртылган. Анын ордуна компания 1-жылдын 21-ноябрынан 5-декабрына чейин MasterPlatypusV2021 келишиминин версиясын текшерди.
8 миллион долларлык Platypus флеш насыя чабуулу туура эмес тартипте коюлган коддун айынан мүмкүн болду. боюнча Platypus аудитору Omnisciaнын өлүмүнөн кийинки отчетуна. Аудитордук компания көйгөйлүү код алар текшерген версияда болгон эмес деп ырастоодо.
Акыркы учурларда @Platypusdefi болгон окуя https://t.co/30PzcoIJnt команда эксплуатациянын кандайча майда-чүйдөсүнө чейин ачылганын сүрөттөгөн техникалык өлүмдөн кийинки анализди даярдады.
Сөзсүз ээрчишет @Omniscia_sec көбүрөөк коопсуздук жаңыртууларын алуу үчүн!https://t.co/cf784QtKPK pic.twitter.com/egHyoYaBhn
— Omniscia (@Omniscia_sec) February 17, 2023
Отчетко ылайык, Platypus MasterPlatypusV4 келишими "анын өзгөчө кырдаалдарда алып салуу механизминде өлүмгө дуушар болгон жаңылыш түшүнүктү камтыган", бул аны "коюмдун позициясына байланыштуу LP энбелгилерин жаңыртуудан мурун анын төлөө жөндөмдүүлүгүн текшерүүгө" мажбур кылган.
Отчетто өзгөчө кырдаалды өчүрүү функциясынын коду кол салууну алдын алуу үчүн бардык керектүү элементтерге ээ экенин, бирок бул элементтер жөн гана туура эмес тартипте жазылганын, анткени Omniscia түшүндүрдү:
"Маселе MasterPlatypusV4::emergencyWithdraw билдирүүлөрүн кайра иреттөө жана колдонуучунун сумманы киргизгенден кийин төлөм жөндөмдүүлүгүн текшерүү аркылуу алдын алса болмок, бул чабуулга тыюу салмак."
Omniscia 1-жылдын 21-ноябрынан 5-декабрына чейин MasterPlatypusV2021 келишиминин версиясын текшерди. Бирок, бул версияда "тышкы platypusTreasure системасы менен интеграция чекиттери жок" жана ошондуктан коддун туура эмес иреттелген саптарын камтыган эмес.
Колдонулган кодекс Omniscia текшерүү учурунда жок экенин белгилей кетүү маанилүү. Omnisciaнын көз карашы, иштеп чыгуучулар аудит жүргүзүлгөндөн кийин кандайдыр бир учурда келишимдин жаңы версиясын орнотушу керек дегенди билдирет.
байланыштуу: Raydium хакерликтин чоо-жайын жарыялап, жабыркагандарга компенсация төлөп берүүнү сунуштайт
Аудитордун ырастоосунда, Avalanche C-Chain 0xc007f27b757a782c833c568f5851ae1dfe0e6ec7 дареги боюнча келишимдин аткарылышы кор болгон дагы бир. Бул келишимдин 582–584-саптары PlatypusTreasure келишиминде “isSolvent” деп аталган функцияны чакырып жаткандай көрүнөт, ал эми 599–601-саптар колдонуучунун суммасын, факторун жана сыйлык карызын нөлгө койгондой көрүнөт. Бирок, бул суммалар "isSolvent" функциясы мурунтан эле чакырылгандан кийин нөлгө коюлган.
Platypus командасы ырастады 16-февралда чабуулчу "USP төлөм жөндөмдүүлүгүн текшерүү механизминдеги мүчүлүштүктөн" пайдаланган, бирок команда башында кошумча маалымат берген эмес. Аудитордун бул жаңы отчёту кол салган адам эксплуатацияны кантип ишке ашыра алганы тууралуу көбүрөөк маалымат берет.
Platypus командасы 16-февралда жарыялаган кол салуу болгон. Ал хакер менен байланышып, мүчүлүштүктөр үчүн акчаны кайтарып алууга аракет кылды. чабуулчу колдонулган жаркыраган кредиттер колдонулган стратегияга окшош эксплуатацияны аткаруу үчүн Каржы эксплуатациясын эритүү 25-жылдын 2022-декабрында.
Булак: https://cointelegraph.com/news/platypus-attack-exploited-incorrect-ordering-of-code-auditor-claims