Poté, co byl protokol Platypus včera hacknut, bylo na zneužitou platformu vráceno nejméně 2.4 milionu USDC s pomocí blockchainové bezpečnostní firmy BlockSec.
Z téměř 9.1 milionu dolarů ukradených prostředků z Platypusu to bylo odhalil že útočník mohl vydělat pouze 270,000 XNUMX dolarů, podle MetalSleuth, vizualizačního nástroje od Blocksec.
Zhruba 8.5 milionu dolarů ukradených finančních prostředků je zmrazeno smlouva byly převedeny na a dalších 380,000 XNUMX dolarů z druhého pokusu o zneužití bylo náhodou odesláno zpět do Aave, ukazují data o řetězci.
Získání části ukradených prostředků pro Platypus se točilo kolem plánu BlockSec využít mezeru v útočníkově smlouvě.
„Využitím této mezery může projekt převést finanční prostředky ze smlouvy s útočníkem na účet projektu,“ řekl The Block Yajin Zhou, spoluzakladatel BlockSec.
„Projekt získal zpět 2 miliony dolarů pomocí námi poskytnutého proof of concept. Šlo o navrácení finančních prostředků z útočníkovy smlouvy,“ uvedl Zhou, který dodal, že majetek ve výši přibližně 8 milionů dolarů uvízl, protože smlouva s útočníkem postrádá převodní funkci.
Zpětné volání hacku
Aby získal zpět krypto, BlockSec použil funkci zpětného volání v útočníkově smlouvě.
„Útok byl zahájen prostřednictvím rozhraní zpětného volání flash půjčky ve smlouvě o útoku. Tato funkce zpětného volání nemá řízení přístupu. A během této funkce zpětného volání útočník napevno zakódoval logiku pro schválení USDC do smlouvy projektu (což je proxy),“ poznamenal Zhou.
„Projekt tedy může nejprve vyvolat funkci zpětného volání ve smlouvě s útočníkem, aby schválil USDC ke smlouvě projektu. Pak může projektová smlouva stáhnout USDC ze smlouvy s útočníkem upgradováním proxy na novou implementaci,“ řekl Zhou.
Oprava: Aktualizováno, aby bylo opraveno formální jméno Platypus.
Zdroj: https://www.theblock.co/post/212966/platypusdefi-salvages-2-4-million-in-hacked-funds-with-blocksecs-help?utm_source=rss&utm_medium=rss