Nakon što je protokol Platypus jučer hakiran, najmanje 2.4 milijuna USDC vraćeno je na iskorištavanu platformu uz pomoć sigurnosne tvrtke za blockchain BlockSec.
Od gotovo 9.1 milijuna dolara ukradenih sredstava iz Platypusa, jest otkrila da je napadač mogao unovčiti samo 270,000 dolara, prema MetalSleuthu, Blocksecovom alatu za vizualizaciju.
Oko 8.5 milijuna dolara ukradenih sredstava zamrznuto je u ugovor prebačeni su u, a još 380,000 dolara iz drugog pokušaja eksploatacije je slučajno poslano natrag u Aave, pokazuju podaci u lancu.
Vraćanje dijela ukradenih sredstava za Platypus vrtilo se oko BlockSecovog plana da iskoristi rupu u ugovoru napadača.
"Iskorištavanjem ove rupe u zakonu, projekt može prebaciti sredstva iz napadačkog ugovora na račun projekta", rekao je Yajin Zhou, suosnivač BlockSeca za The Block.
“Projekt je povratio 2 milijuna dolara korištenjem dokaza koncepta koji smo pružili. To je bilo da se povrate sredstva iz napadačevog ugovora,” prema Zhou, koji je dodao da je nekih 8 milijuna dolara u imovini nasukano jer napadačev ugovor nema funkciju prijenosa.
Povratni poziv haku
Kako bi vratio kriptovalutu, BlockSec je koristio funkciju povratnog poziva u ugovoru napadača.
“Napad je pokrenut preko sučelja povratnog poziva flash zajma u ugovoru o napadu. Ova funkcija povratnog poziva nema kontrolu pristupa. I tijekom ove funkcije povratnog poziva, napadač je hardkodirao logiku za odobravanje USDC-a u ugovoru projekta (koji je proxy)”, primijetio je Zhou.
“Dakle, projekt prvo može pozvati funkciju povratnog poziva u ugovoru napadača kako bi odobrio USDC ugovoru projekta. Tada projektni ugovor može povući USDC iz napadačkog ugovora nadogradnjom proxyja na novu implementaciju,” rekao je Zhou.
Ispravak: Ažurirano kako bi se ispravio službeni naziv Platypusa.
Izvor: https://www.theblock.co/post/212966/platypusdefi-salvages-2-4-million-in-hacked-funds-with-blocksecs-help?utm_source=rss&utm_medium=rss