余弦：Platypus黑客未在合约中实现提现功能导致850万美元赃款无法提取

2月17日，据区块链安全审计公司Beosin旗下Beosin EagleEye安全风险监控、 预警与阻断平台监测显示，Avalanche链上的Platypus项目合约遭受闪电贷攻击，Beosin安全团队分析发现攻击者首先通过闪电贷借出4400万USDC之后调用Platypus Finance合约的deposit函数质押，该函数会为攻击者铸造等量的LP-USDC，随后攻击者再把所有LP-USDC质押进MasterPlatypusV4合约的4号池子当中，然后调用positionView函数利用_borrowLimitUSP函数计算出可借贷余额，_borrowLimitUSP函数会返回攻击者在MasterPlatypusV4中质押物品的价值的百分比作为可借贷上限，利用该返回值通过borrow函数铸造了大量USP（获利点），由于攻击者自身存在利用LP-USDC借贷的大量债务（USP），那么在正常逻辑下是不应该能提取出质押品的，但是MasterPlatypusV4合约的emergencyWithdraw函数检查机制存在问题，仅检测了用户的借贷额是否超过该用户的borrowLimitUSP（借贷上限）而没有检查用户是否归还债务的情况下，使攻击者成功提取出了质押品（4400万LP-USDC）。归还4400万USDC闪电贷后， 攻击者还剩余41,794,533USP，随后攻击者将获利的USP兑换为价值8,522,926美元的各类稳定币。。

10月25日消息，Web3 娱乐社交应用Melody在官网推特发布提醒，其应用代币地址已被黑客盗用，请不要相信任何未经证实的信息。目前，相关技术漏洞已经修复，但因维护合约已经暂停体提现等功能。

11月24日消息，近日，多名用户反映Coinlist无法正常提现。社群消息显示，多个币种已无法提现，但部分币种仍能正常进行小额体现。 Coinlist官方推特回应称，目前托管服务正在维护，维护期间FLOW、MINA和CFG关闭充提，并表示用户资产仍然安全。

8月14日消息，巴西加密借贷平台BlueBenx声称遭遇黑客攻击，损失达3200万美元（或1.6亿巴西雷亚尔），之后BlueBenx禁止其所有22000名用户提取资金。虽然没有提供黑客攻击的细节，但该公司据称解雇大部分员工。 然而，一名投资者表示，“我认为这很有可能是一场骗局，因为整个黑客攻击的故事似乎都是胡说八道，是他们编出来的。”（Cointelegraph）

金色财经报道，币安恢复USDC的提款请求。此前，币安首席执行官赵长鹏表示，由于平台上的USDC储备不足，币安暂时停止处理USDC提款。 根据Nansen的数据，币安持有其大部分稳定币资产，其中包括超过115亿美元的Paxos发行的BUSD。为了增加其USDC储备，他努力将其持有的BUSD与USDC进行互换。用户一直在从币安提取大量包括USDC在内的稳定币。据The Block数据总监Simon Cousaert估计，自昨天以来，币安的各种加密资产净流出超过20亿美元。

金色财经报道，CZ发推称，“币安已暂时锁定部分盈利账户的提现，这在社交媒体上引起了许多来自不同国家的抱怨。我们知晓平台不能过多干预，会导致‘过于集中’的攻击。但在多大程度上需要干预存在一个平衡。有时，这发生在自由市场中，我们需要让它发挥作用。” 此前报道，币安发推称，注意到某些交易对在币安上出现价格异常变动，涉及SUN、ARDR、OSMO、FUN和GLM等资产，团队正在调查可疑账户并采取适当行动。币安称，相关波动似乎不是由于账户被盗或API密钥被盗所致，目前资金是安全的。