ການປະຕິເສດຄວາມຮັບຜິດຊອບ: ບົດຄວາມໄດ້ຖືກປັບປຸງເພື່ອສະທ້ອນວ່າ Omniscia ບໍ່ໄດ້ກວດສອບສະບັບຂອງສັນຍາ MasterPlatypusV4. ແທນທີ່ຈະ, ບໍລິສັດໄດ້ກວດສອບສະບັບຂອງສັນຍາ MasterPlatypusV1 ຈາກວັນທີ 21 ພະຈິກຫາວັນທີ 5 ທັນວາ 2021.
ການໂຈມຕີເງິນກູ້ Platypus ມູນຄ່າ 8 ລ້ານໂດລາແມ່ນເປັນໄປໄດ້ຍ້ອນລະຫັດທີ່ຜິດພາດ, ຕາມ ຕໍ່ກັບບົດລາຍງານຫຼັງການເສຍຊີວິດຈາກຜູ້ກວດສອບ Platypus Omniscia. ບໍລິສັດກວດສອບໄດ້ອ້າງວ່າລະຫັດທີ່ມີບັນຫາບໍ່ມີຢູ່ໃນສະບັບທີ່ເຂົາເຈົ້າກວດສອບ.
ໃນຄວາມສະຫວ່າງຂອງບໍ່ດົນມານີ້ @Platypusdefi ເຫດການ https://t.co/30PzcoIJnt ທີມງານໄດ້ກະກຽມການວິເຄາະຫຼັງການຕາຍທາງວິຊາການອະທິບາຍວິທີການຂຸດຄົ້ນ unraveled ໃນລາຍລະອຽດທີ່ຍິ່ງໃຫຍ່.
ໃຫ້ແນ່ໃຈວ່າຈະປະຕິບັດຕາມ @Omniscia_sec ເພື່ອໄດ້ຮັບການອັບເດດຄວາມປອດໄພເພີ່ມເຕີມ!https://t.co/cf784QtKPK pic.twitter.com/egHyoYaBhn
— Omniscia (@Omniscia_sec) ກຸມພາ 17, 2023
ອີງຕາມບົດລາຍງານ, ສັນຍາ Platypus MasterPlatypusV4 "ມີຄວາມເຂົ້າໃຈຜິດທີ່ຮ້າຍແຮງໃນກົນໄກການຖອນເງິນສຸກເສີນ," ເຊິ່ງເຮັດໃຫ້ມັນປະຕິບັດ "ການກວດສອບການແກ້ໄຂກ່ອນທີ່ຈະປັບປຸງ LP tokens ທີ່ກ່ຽວຂ້ອງກັບຕໍາແຫນ່ງສະເຕກ."
ບົດລາຍງານໄດ້ເນັ້ນຫນັກວ່າລະຫັດສໍາລັບຟັງຊັນການຖອນເງິນສຸກເສີນມີອົງປະກອບທີ່ຈໍາເປັນທັງຫມົດເພື່ອປ້ອງກັນການໂຈມຕີ, ແຕ່ອົງປະກອບເຫຼົ່ານີ້ຖືກຂຽນໄວ້ໃນຄໍາສັ່ງທີ່ບໍ່ຖືກຕ້ອງ, ດັ່ງທີ່ Omniscia ອະທິບາຍວ່າ:
"ບັນຫາດັ່ງກ່າວສາມາດປ້ອງກັນໄດ້ໂດຍການສັ່ງຄືນ MasterPlatypusV4::emergencyWithdraw ແລະດໍາເນີນການກວດສອບການແກ້ແຄ້ນຫຼັງຈາກການປ້ອນຈໍານວນຂອງຜູ້ໃຊ້ໄດ້ຖືກກໍານົດເປັນ 0 ເຊິ່ງຈະໄດ້ຫ້າມການໂຈມຕີເກີດຂຶ້ນ."
Omniscia ໄດ້ກວດສອບສະບັບຂອງສັນຍາ MasterPlatypusV1 ຈາກວັນທີ 21 ພະຈິກຫາວັນທີ 5 ທັນວາ 2021. ຢ່າງໃດກໍຕາມ, ສະບັບນີ້ "ບໍ່ມີຈຸດປະສົມປະສານກັບລະບົບ platypusTreasure ພາຍນອກ" ແລະດັ່ງນັ້ນຈຶ່ງບໍ່ມີສາຍຂອງລະຫັດທີ່ຜິດພາດ.
ມັນເປັນສິ່ງສໍາຄັນທີ່ຈະສັງເກດວ່າລະຫັດທີ່ຖືກຂູດຮີດບໍ່ມີຢູ່ໃນເວລາທີ່ການກວດສອບຂອງ Omniscia. ທັດສະນະຂອງ Omniscia ຫມາຍຄວາມວ່າຜູ້ພັດທະນາຈະຕ້ອງໄດ້ປະຕິບັດສັນຍາສະບັບໃຫມ່ໃນບາງຈຸດຫຼັງຈາກການກວດສອບ.
ທີ່ກ່ຽວຂ້ອງ: Raydium ປະກາດລາຍລະອຽດຂອງ hack, ສະເຫນີການຊົດເຊີຍສໍາລັບຜູ້ຖືກເຄາະຮ້າຍ
ຜູ້ກວດສອບອ້າງວ່າການຈັດຕັ້ງປະຕິບັດສັນຍາຢູ່ທີ່ Avalanche C-Chain ທີ່ຢູ່ 0xc007f27b757a782c833c568f5851ae1dfe0e6ec7 ແມ່ນອັນທີ່ exploited. ເສັ້ນ 582–584 ຂອງສັນຍານີ້ປະກົດວ່າເອີ້ນຟັງຊັນທີ່ເອີ້ນວ່າ “isSolvent” ໃນສັນຍາ PlatypusTreasure, ແລະເສັ້ນ 599–601 ປາກົດວ່າກໍານົດຈໍານວນຜູ້ໃຊ້, ປັດໄຈແລະລາງວັນຫນີ້ສິນເປັນສູນ. ຢ່າງໃດກໍຕາມ, ຈໍານວນເຫຼົ່ານີ້ຖືກຕັ້ງເປັນສູນຫຼັງຈາກຟັງຊັນ "isSolvent" ຖືກເອີ້ນແລ້ວ.
ທີມງານ Platypus ຢືນຢັນ ໃນວັນທີ 16 ເດືອນກຸມພາວ່າຜູ້ໂຈມຕີໄດ້ໃຊ້ "ຂໍ້ບົກພ່ອງໃນກົນໄກການກວດສອບການແກ້ໄຂ USP," ແຕ່ທີມງານບໍ່ໄດ້ໃຫ້ລາຍລະອຽດໃນເບື້ອງຕົ້ນ. ບົດລາຍງານໃຫມ່ນີ້ຈາກຜູ້ກວດສອບໄດ້ໃຫ້ຄວາມສະຫວ່າງຕື່ມອີກກ່ຽວກັບວິທີທີ່ຜູ້ໂຈມຕີອາດຈະສາມາດປະຕິບັດການຂູດຮີດໄດ້.
ທີມງານ Platypus ປະກາດໃນວັນທີ 16 ກຸມພາວ່າ ການໂຈມຕີໄດ້ເກີດຂຶ້ນ. ມັນໄດ້ພະຍາຍາມຕິດຕໍ່ກັບແຮກເກີ ແລະເອົາເງິນຄືນເພື່ອແລກປ່ຽນກັບຄ່າໂບນັດຂອງບັກ. ຜູ້ໂຈມຕີ ໃຊ້ເງິນກູ້ flashed ເພື່ອປະຕິບັດການຂຸດຄົ້ນ, ເຊິ່ງຄ້າຍຄືກັບຍຸດທະສາດທີ່ໃຊ້ໃນ Defrost Finance exploit ໃນວັນທີ 25 ທັນວາ 2022.
ທີ່ມາ: https://cointelegraph.com/news/platypus-attack-exploited-incorrect-ordering-of-code-auditor-claims