Nakon što je jučer hakovan Platypus protokol, najmanje 2.4 miliona USDC-a vraćeno je na eksploatisanu platformu uz pomoć firme BlockSec za zaštitu blokova.
Od skoro 9.1 milion dolara ukradenih sredstava od Platypusa, to je bilo otkrio da je napadač mogao unovčiti samo 270,000 dolara, navodi MetalSleuth, alat za vizualizaciju iz Blockseca.
Oko 8.5 miliona dolara ukradenih sredstava je zamrznuto ugovor oni su prebačeni u, i još 380,000 dolara iz drugog pokušaja eksploatacije slučajno poslan nazad u Aave, pokazuju podaci na lancu.
Povratak dijela ukradenih sredstava za Platypus vrtio se oko BlockSecovog plana da iskoristi rupu u ugovoru napadača.
“Iskoristivši ovu rupu, projekat može prenijeti sredstva iz napada napadača na račun projekta,” rekao je Yajin Zhou, suosnivač BlockSec-a za The Block.
„Projekat je povratio 2 miliona dolara koristeći naš dokaz koncepta. Ovo je trebalo da se povrati sredstva iz napadačevog ugovora”, kaže Zhou, koji je dodao da je oko 8 miliona dolara imovine nasukano jer ugovor napadača nema funkciju transfera.
Pozovite hak
Da bi vratio kriptovalutu, BlockSec je koristio funkciju povratnog poziva u ugovoru napadača.
„Napad je pokrenut preko interfejsa za povratni poziv flash zajma u ugovoru o napadu. Ova funkcija povratnog poziva nema kontrolu pristupa. I tokom ove funkcije povratnog poziva, napadač je čvrsto kodirao logiku da odobri USDC ugovoru projekta (koji je proxy),” napomenuo je Zhou.
“Dakle, projekat može prvo pozvati funkciju povratnog poziva u ugovoru napadača da odobri USDC ugovoru projekta. Tada projektni ugovor može povući USDC iz napada napadača nadogradnjom proxyja na novu implementaciju”, rekao je Zhou.
Ispravka: Ažurirano kako bi se ispravilo formalno ime Platypusa.
Izvor: https://www.theblock.co/post/212966/platypusdefi-salvages-2-4-million-in-hacked-funds-with-blocksecs-help?utm_source=rss&utm_medium=rss