כתב ויתור: המאמר עודכן כדי לשקף כי Omniscia לא ביקרה גרסה של חוזה MasterPlatypusV4. במקום זאת, החברה ביקרה גרסה של חוזה MasterPlatypusV1 מ-21 בנובמבר עד 5 בדצמבר 2021.
מתקפת הלוואת הבזק של Platypus בסך 8 מיליון דולר התאפשרה בגלל קוד שלא היה בסדר, פי לדוח נתיחה שלאחר המוות ממבקר פלטיפוס אומנישיה. חברת הביקורת טוענת שהקוד הבעייתי לא היה קיים בגרסה שהם ביקרו.
לאור התקופה האחרונה @Platypusdefi אירוע את https://t.co/30PzcoIJnt הצוות הכין ניתוח טכני שלאחר המוות המתאר כיצד הניצול נפרם לפרטים גדולים.
הקפד לעקוב @Omniscia_sec כדי לקבל עדכוני אבטחה נוספים!https://t.co/cf784QtKPK pic.twitter.com/egHyoYaBhn
- Omniscia (@Omniscia_sec) פברואר 17, 2023
על פי הדיווח, חוזה Platypus MasterPlatypusV4 "הכיל תפיסה מוטעית קטלנית במנגנון החירום שלו", שגרם לו לבצע "בדיקת כושר הפירעון שלו לפני עדכון אסימוני ה-LP הקשורים לעמדת ההימור".
הדו"ח הדגיש כי הקוד של פונקציית חירום נסיגה מכיל את כל האלמנטים הדרושים כדי למנוע התקפה, אך הרכיבים הללו פשוט נכתבו בסדר שגוי, כפי שהסביר Omniscia:
"ניתן היה למנוע את הבעיה על ידי הזמנה מחדש של הצהרות MasterPlatypusV4::emergencyWithdraw וביצוע בדיקת כושר הפירעון לאחר שהזנת הסכום של המשתמש הוגדרה ל-0, מה שהיה אוסר על ביצוע המתקפה."
Omniscia ביקרה גרסה של חוזה MasterPlatypusV1 מה-21 בנובמבר עד ה-5 בדצמבר 2021. עם זאת, גרסה זו "לא הכילה נקודות אינטגרציה עם מערכת platypusTreasure חיצונית" ולכן לא הכילה את שורות הקוד שסודרו.
חשוב לציין שהקוד שניצל לא היה קיים בזמן הביקורת של Omniscia. נקודת המבט של Omniscia מרמזת שהמפתחים חייבים לפרוס גרסה חדשה של החוזה בשלב מסוים לאחר ביצוע הביקורת.
מידע נוסף: Raydium מכריזה על פרטי פריצה, מציעה פיצוי לקורבנות
המבקר טוען כי יישום החוזה בכתובת Avalanche C-Chain 0xc007f27b757a782c833c568f5851ae1dfe0e6ec7 הוא זה שהיה ומנוצל. נראה כי שורות 582–584 בחוזה זה מתקשרות לפונקציה הנקראת "isSolvent" בחוזה PlatypusTreasure, ונראה כי שורות 599–601 מגדירות את הסכום, הפקטור והתגמול של המשתמש לאפס. עם זאת, סכומים אלה מוגדרים לאפס לאחר שהפונקציה "isSolvent" כבר נקראה.
צוות הפלטיפוס מאושר ב-16 בפברואר כי התוקף ניצל "פגם במנגנון בדיקת כושר הפירעון של USP", אך הצוות לא סיפק בתחילה פרטים נוספים. דוח חדש זה של המבקר שופך אור נוסף על האופן שבו התוקף הצליח לבצע את הניצול.
צוות פלטיפוס הודיע ב-16 בפברואר כי התרחשה תקיפה. הוא ניסה ליצור קשר עם ההאקר ולהחזיר את הכספים בתמורה לפרס באג. התוקף השתמשו בהלוואות בזק לבצע את הניצול, הדומה לאסטרטגיה המשמשת ב- הפשרה פיננסית ב-25 בדצמבר 2022.
מקור: https://cointelegraph.com/news/platypus-attack-exploited-incorrect-ordering-of-code-auditor-claims