Po wczorajszym zhakowaniu protokołu Platypus co najmniej 2.4 miliona USDC zostało zwróconych na wykorzystaną platformę z pomocą BlockSec, firmy zajmującej się bezpieczeństwem blockchain.
Z prawie 9.1 miliona dolarów skradzionych z Dziobaka ujawnił że atakujący mógł wypłacić tylko 270,000 XNUMX $, według MetalSleuth, narzędzia do wizualizacji firmy Blocksec.
Około 8.5 miliona dolarów skradzionych funduszy zostało zamrożonych w umowa zostały przeniesione, a kolejne 380,000 XNUMX $ z drugiej próby wykorzystania exploita przypadkowo wysłany z powrotem do Aave, pokaz danych w łańcuchu.
Odzyskanie części skradzionych funduszy dla Platypus obracało się wokół planu BlockSec, aby wykorzystać lukę w kontrakcie atakującego.
„Wykorzystując tę lukę, projekt może przenieść środki z kontraktu atakującego na konto projektu” — powiedział The Block Yajin Zhou, współzałożyciel BlockSec.
„Projekt odzyskał 2 miliony dolarów, korzystając z dostarczonego przez nas dowodu słuszności koncepcji. Miało to na celu odzyskanie środków z kontraktu atakującego” – powiedział Zhou, który dodał, że aktywa o wartości około 8 milionów dolarów zostały unieruchomione, ponieważ kontrakt atakującego nie zawiera funkcji transferu.
Oddzwoń do hacka
Aby odzyskać kryptowalutę, BlockSec użył funkcji wywołania zwrotnego w kontrakcie atakującego.
„Atak został przeprowadzony za pośrednictwem interfejsu wywołania zwrotnego pożyczki błyskawicznej w kontrakcie ataku. Ta funkcja wywołania zwrotnego nie ma kontroli dostępu. A podczas tej funkcji wywołania zwrotnego atakujący zakodował na stałe logikę, aby zatwierdzić USDC do umowy projektu (która jest proxy)” – zauważył Zhou.
„Tak więc projekt może najpierw wywołać funkcję wywołania zwrotnego w kontrakcie atakującego, aby zatwierdzić USDC do kontraktu projektu. Następnie umowa projektu może wycofać USDC z umowy atakującego poprzez aktualizację serwera proxy do nowej implementacji” — powiedział Zhou.
Korekta: Zaktualizowano, aby poprawić formalną nazwę Dziobaka.
Źródło: https://www.theblock.co/post/212966/platypusdefi-salvages-2-4-million-in-hacked-funds-with-blocksecs-help?utm_source=rss&utm_medium=rss