Platypus တိုက်ခိုက်မှုသည် ကုဒ်၏ မှားယွင်းစွာ မှာယူမှုကို အသုံးချခဲ့သည်ဟု စာရင်းစစ်များက အခိုင်အမာဆိုသည်။

မသက်ဆိုင်ကြောင်းရှင်းလင်းချက်- Omniscia သည် MasterPlatypusV4 စာချုပ်၏ဗားရှင်းကို စစ်ဆေးခြင်းမရှိကြောင်း ထင်ဟပ်စေရန် ဆောင်းပါးကို အပ်ဒိတ်လုပ်ထားပါသည်။ ယင်းအစား ကုမ္ပဏီသည် MasterPlatypusV1 စာချုပ်၏ဗားရှင်းကို နိုဝင်ဘာ 21 ရက်မှ ဒီဇင်ဘာ 5 ရက်၊ 2021 ခုနှစ်အထိ စစ်ဆေးခဲ့သည်။

ဒေါ်လာ 8 သန်း Platypus flash ချေးငွေတိုက်ခိုက်မှုသည် ကုဒ်မှားယွင်းနေခြင်းကြောင့် ဖြစ်နိုင်သည်။ အညီ Platypus စာရင်းစစ် Omniscia မှ ရင်ခွဲစစ်ဆေးခြင်း အစီရင်ခံစာကို စာရင်းစစ်ကုမ္ပဏီသည် ၎င်းတို့စစ်ဆေးသည့်ဗားရှင်းတွင် ပြဿနာရှိသောကုဒ်မရှိဟု အခိုင်အမာဆိုသည်။

မကြာသေးမီက အလင်းတွင်၊ @Platypusdefi အဖြစ်အပျက် https://t.co/30PzcoIJnt အဖွဲ့သည် အမြတ်ထုတ်မှု မည်ကဲ့သို့ ပြေလည်သွားသည်ကို အသေးစိတ်ဖော်ပြသည့် နည်းပညာပိုင်းဆိုင်ရာ ခွဲခြမ်းစိတ်ဖြာမှုတစ်ခုကို ပြင်ဆင်ထားပါသည်။

နောက်လိုက်ဖို့သေချာပါစေ @Omniscia_sec နောက်ထပ် လုံခြုံရေး အပ်ဒိတ်များကို ရယူရန်။https://t.co/cf784QtKPK pic.twitter.com/egHyoYaBhn

— Omniscia (@Omniscia_sec) ဖေဖေါ်ဝါရီလ 17, 2023

အစီရင်ခံစာအရ၊ Platypus MasterPlatypusV4 စာချုပ်တွင် "၎င်း၏အရေးပေါ်ငွေထုတ်မှုယန္တရားတွင် အထင်အမြင်လွဲမှားမှုတစ်ခုပါရှိသည်" ၊ ၎င်းသည် "လောင်းကြေးဆိုင်ရာ LP တိုကင်များကို မွမ်းမံပြင်ဆင်ခြင်းမပြုမီ ၎င်း၏ဖြေရှင်းနိုင်မှုစစ်ဆေးမှုကို လုပ်ဆောင်စေခဲ့သည်။"

EmergencyWithdraw လုပ်ဆောင်ချက်အတွက် ကုဒ်တွင် တိုက်ခိုက်မှုကို ကာကွယ်ရန် လိုအပ်သော အစိတ်အပိုင်းများ ပါ၀င်ကြောင်း အစီရင်ခံစာတွင် အလေးပေးဖော်ပြထားသော်လည်း Omniscia မှ ရှင်းပြထားသည့်အတိုင်း ဤအရာများကို မှားယွင်းစွာ ရေးထားသည်-

"MasterPlatypusV4::emergencyWithdraw ထုတ်ပြန်ချက်များအား ပြန်လည်မှာယူခြင်းနှင့် အသုံးပြုသူ၏ပမာဏဝင်ရောက်မှု 0 သို့ သတ်မှတ်ပြီးနောက် အဆိုပါပြဿနာကို တားဆီးနိုင်မည်ဖြစ်သည်။"

Omniscia သည် MasterPlatypusV1 စာချုပ်၏ ဗားရှင်းကို နိုဝင်ဘာ 21 ရက်မှ ဒီဇင်ဘာ 5 ရက်၊ 2021 ခုနှစ်အထိ စစ်ဆေးခဲ့သည်။ သို့သော်၊ ဤဗားရှင်းတွင် "ပြင်ပ platypusTreasure စနစ်နှင့် ပေါင်းစည်းထားသော အမှတ်များ မပါဝင်ပါ" ထို့ကြောင့် မှားယွင်းသော ကုဒ်လိုင်းများ မပါဝင်ပါ။

Omniscia ၏စာရင်းစစ်ကာလတွင် အသုံးချခံခဲ့ရသောကုဒ်သည် မရှိခဲ့ကြောင်း သတိပြုရန် အရေးကြီးပါသည်။ Omniscia ၏အမြင်သည် ဆော့ဖ်ဝဲအင်ဂျင်နီယာများသည် စာရင်းစစ်ပြီးနောက် တစ်ချိန်ချိန်တွင် စာချုပ်၏ဗားရှင်းအသစ်ကို အသုံးချရမည်ဟု ဆိုလိုသည်။

Related: Raydium သည် hack ၏အသေးစိတ်အချက်အလက်များကိုကြေငြာပြီးသားကောင်များအတွက်လျော်ကြေးငွေအဆိုပြုသည်။

စာရင်းစစ်သည် Avalanche C-Chain လိပ်စာ 0xc007f27b757a782c833c568f5851ae1dfe0e6ec7 တွင် စာချုပ်အကောင်အထည်ဖော်မှုမှာ အဆိုပါအရာဖြစ်သည် အမြတ်ထုတ်. ဤစာချုပ်၏ လိုင်းများ 582–584 သည် PlatypusTreasure စာချုပ်တွင် “isSolvent” ဟုခေါ်သော လုပ်ဆောင်ချက်ကို ခေါ်ဆိုပုံပေါ်ပြီး လိုင်း 599–601 သည် သုံးစွဲသူ၏ ပမာဏ၊ ကိန်းဂဏန်းနှင့် ဆုလာဘ်ကြွေးမြီကို သုညအဖြစ် သတ်မှတ်ရန် ပေါ်လာပါသည်။ သို့ရာတွင်၊ “isSolvent” လုပ်ဆောင်ချက်ကို ခေါ်ပြီးသည့်နောက်တွင် ဤပမာဏများကို သုညဟု သတ်မှတ်သည်။

Platypus အဖွဲ့ အတည်ပြုပြောကြား ဖေဖော်ဝါရီ 16 ရက်နေ့တွင် တိုက်ခိုက်သူသည် "[the] USP solvency check mechanism" တွင် ချို့ယွင်းချက်တစ်ခုကို အသုံးချခဲ့သည်၊ သို့သော် အဖွဲ့သည် အသေးစိတ်ကို ကနဦးတွင် မဖော်ပြခဲ့ပေ။ စာရင်းစစ်မှ ဤအစီရင်ခံစာအသစ်သည် တိုက်ခိုက်သူသည် အမြတ်ထုတ်မှုကို ပြီးမြောက်အောင် မည်သို့လုပ်ဆောင်နိုင်သည်ကို ပိုမိုရှင်းလင်းစေသည်။

Platypus အဖွဲ့သည် ဖေဖော်ဝါရီ ၁၆ ရက်က ထုတ်ပြန်ကြေညာခဲ့သည်။ တိုက်ခိုက်မှု ဖြစ်ပွားခဲ့သည်။. ၎င်းသည် ဟက်ကာနှင့် ဆက်သွယ်ရန် ကြိုးပမ်းခဲ့ပြီး bug လက်ဆောင်တစ်ခုအတွက် ရန်ပုံငွေများ ပြန်လည်ပေးအပ်ရန် ကြိုးပမ်းခဲ့သည်။ တိုက်ခိုက်သူ flashed ချေးငွေများကိုအသုံးပြုခဲ့သည်။ exploit ကိုလုပ်ဆောင်ရန်၊ ၎င်းတွင်အသုံးပြုသည့်ဗျူဟာနှင့်ဆင်တူသည်။ Defrost Finance ကို အသုံးချပါ။ ဒီဇင်ဘာ ၂၅၊ ၂၀၂၂။