PLA:安全公司：稳定币交易项目Platypus遭遇闪电贷攻击，损失约900万美元

安全公司CertiKAlert在推特上表示，稳定币交易项目Platypus在AAVE上遭遇闪电贷攻击，导致总价值约900万美元的资产损失。此时，大部分被盗资金仍留在攻击者的合约地址中，部分资金被发送到EOA和AAVE池中。

CertiK分析称，漏洞似乎在于emergencyWithdraw函数对MasterPlatypusV4合约的验证，只有在借入资产超过借入限额时才会失败。然后该函数继续转移所有用户的存款资产，而不考虑用户借入的资产价值。具体过程如下：1.攻击者将4400万枚USDC存入PlatypusUSDC资产并获得4400万枚LP-USD。攻击者随后将LP-USD存入MasterPlatypusV4。2.攻击者调用函数borrow()在合约platyputreasure中铸造约4179万枚USP。这是借款限额所允许的最高金额，该限额为用户抵押品的95%。3.因为攻击者没有借入超过95%的上限，isSolvent值返回为“true”，这使得攻击者能够调用EmergencyWithdraw函数和全部4400万枚LP-USDC。4.攻击者随后从PlatypusUSDC资产(LP-USDC)中提取了4400万枚USDC，并开始通过PlatypusFinance池将USP换成多种资产。偿还闪电贷后，Platypus平台的总损失约为900万美元。

安全公司：Deribit攻击者已累计将7499枚ETH转入Tornado Cash:11月8日消息，据派盾监测数据显示，Deribit热钱包攻击事件黑客已累计将7499枚ETH（约合1180万美元）通过中间地址（0x3...e2d）转入Tornado Cash。[2022/11/8 12:30:48]

Platypus就此事在官方电报群中发布公告称：“我们目前正在努力评估情况，并将就此及时进行沟通。目前，所有行动都已暂停，直到情况更加明朗。”数据显示，Platypus项目的原生稳定币USP已脱锚至0.4785美元。

安全公司：Punk Protocol被黑因其CompoundModel的Initialize函数未做重复初始化检查:据慢雾区消息，去中心化年金协议 Punk Protocol 在公平启动的过程中遭遇攻击，慢雾安全团队以简讯形式将攻击原理分享如下：

1.攻击者调用CompoundModel合约的Initialize函数进行重复初始化操作，将合约Forge角色设置为攻击者指定的地址。

2.随后攻击者为了最大程度的将合约中资金取出，其调用了invest函数将合约中的资金抵押至Compound中，以取得抵押凭证cToken。

3.最后攻击者直接调用withdrawToForge函数将合约中的cToken转回Compound获取到对应的底层资产并最终将其转给Forge角色。

4.withdrawToForge函数被限制只有Forge角色可以调用，但Forge角色已被重复初始化为攻击者指定的地址，因此最终合约管理的资产都被转移至攻击者指定的地址。总结：本次攻击的根本原因在于其CompoundModel的Initialize函数未做重复初始化检查，导致攻击者直接调用此函数进行重复初始化替换Forge角色，最终造成合约管理的资产被盗。

总结：本次攻击的根本原因在于其 CompoundModel 的 Initialize 函数未做重复初始化检查，导致攻击者直接调用此函数进行重复初始化替换 Forge 角色，最终造成合约管理的资产被盗。[2021/8/12 1:51:06]

动态 | 安全公司：四分之一受调查的英国企业遭受过加密攻击:英国网络安全平台CybSafe称，多达四分之一的英国小企业可能受到加密攻击的影响。调查结果显示，在过去12个月中，250家受访公司中有25％曾遭受过加密攻击。CybSafe的研究还发现，受调查公司普遍缺乏网络安全措施，只有一半的公司进行过员工培训，并且，多达四分之一的公司没有反病软件。?（Crypto Briefing）[2019/9/20]

标签：LATTYPPLAPLATplato币可投资TYPEReady Player OneMOA Platform

SOL热门资讯