A Platypus protokoll tegnapi feltörése után legalább 2.4 millió USDC került vissza a kihasznált platformra a blokklánc-biztonsági cég, a BlockSec segítségével.
A Platypustól ellopott közel 9.1 millió dolláros pénzből ez volt kiderült hogy a támadó csak 270,000 XNUMX dollárt tudott kivenni a MetalSleuth, a Blocksec vizualizációs eszköze szerint.
Mintegy 8.5 millió dollárnyi ellopott pénzeszköz van befagyasztva az országban szerződés áthelyezték őket, és további 380,000 XNUMX dollárt egy második kizsákmányolási kísérletből véletlenül visszaküldték az Aave-nek, az on-chain adatok azt mutatják.
Az ellopott pénz egy részének visszaszerzése a Platypus számára a BlockSec azon terve körül forgott, hogy kihasználja a támadó szerződésében lévő kiskapukat.
„E kiskapu kihasználásával a projekt átutalhatja a támadói szerződésből származó pénzeszközöket a projekt számlájára” – mondta Yajin Zhou, a BlockSec társalapítója a The Blocknak.
„A projekt 2 millió dollárt nyert vissza az általunk biztosított koncepció bizonyításával. Ennek célja a támadó szerződésében szereplő pénzeszközök visszaszerzése volt” – mondta Zhou, aki hozzátette, hogy mintegy 8 millió dollárnyi vagyon szorult el, mivel a támadószerződésből hiányzik az átviteli funkció.
Hívja vissza a hacket
A titkosítás visszaszerzéséhez a BlockSec visszahívási funkciót használt a támadó szerződésében.
„A támadás a támadási szerződésben szereplő gyorskölcsön visszahívási felületén keresztül indult. Ennek a visszahívási funkciónak nincs hozzáférés-vezérlése. És a visszahívási funkció során a támadó bekódolta azt a logikát, hogy jóváhagyja az USDC-t a projekt szerződésében (ez egy proxy)” – jegyezte meg Zhou.
„Tehát a projekt először meghívhatja a visszahívási funkciót a támadószerződésben, hogy jóváhagyja az USDC-t a projekt szerződésében. Ezután a projektszerződés visszavonhatja az USDC-t a támadószerződésből, ha a proxyt egy új megvalósításra frissíti” – mondta Zhou.
Javítás: Frissítve a Platypus hivatalos nevének javítása érdekében.
Forrás: https://www.theblock.co/post/212966/platypusdefi-salvages-2-4-million-in-hacked-funds-with-blocksecs-help?utm_source=rss&utm_medium=rss