Po včerajšom hacknutí protokolu Platypus sa na využívanú platformu vrátilo najmenej 2.4 milióna USDC s pomocou blockchainovej bezpečnostnej firmy BlockSec.
Z takmer 9.1 milióna dolárov ukradnutých prostriedkov z Platypusu to bolo odhalil že útočník mohol vyplatiť iba 270,000 XNUMX dolárov, podľa MetalSleuth, vizualizačného nástroja od Blocksec.
Približne 8.5 milióna dolárov z ukradnutých finančných prostriedkov je zmrazených zmluva boli prevedené na a ďalších 380,000 XNUMX dolárov z druhého pokusu o zneužitie bolo náhodou odoslané späť do Aave, zobrazia sa údaje o reťazci.
Získanie časti ukradnutých prostriedkov pre Platypus sa točilo okolo plánu BlockSec využiť medzeru v zmluve s útočníkom.
„Využitím tejto medzery môže projekt previesť prostriedky zo zmluvy s útočníkom na účet projektu,“ povedal pre The Block Yajin Zhou, spoluzakladateľ BlockSec.
„Projekt získal späť 2 milióny dolárov pomocou proof of concept, ktorý sme poskytli. Išlo o získanie finančných prostriedkov z útočníkovej zmluvy,“ povedal Zhou, ktorý dodal, že aktíva vo výške približne 8 miliónov dolárov uviazli, pretože v zmluve s útočníkom chýba funkcia prevodu.
Spätné zavolanie hacku
Na získanie späť kryptomeny BlockSec použil funkciu spätného volania v zmluve s útočníkom.
„Útok bol spustený prostredníctvom rozhrania spätného volania požičiavania flash v zmluve o útoku. Táto funkcia spätného volania nemá kontrolu prístupu. A počas tejto funkcie spätného volania útočník napevno zakódoval logiku na schválenie USDC do zmluvy projektu (čo je proxy),“ poznamenal Zhou.
„Projekt teda môže najskôr použiť funkciu spätného volania v zmluve s útočníkom, aby schválil USDC k zmluve o projekte. Potom môže projektová zmluva stiahnuť USDC zo zmluvy s útočníkom aktualizáciou proxy na novú implementáciu,“ povedal Zhou.
Oprava: Aktualizované s cieľom opraviť formálne meno Platypus.
Zdroj: https://www.theblock.co/post/212966/platypusdefi-salvages-2-4-million-in-hacked-funds-with-blocksecs-help?utm_source=rss&utm_medium=rss