Selepas protokol Platypus digodam semalam, sekurang-kurangnya 2.4 juta USDC telah dikembalikan ke platform yang dieksploitasi dengan bantuan daripada firma keselamatan blockchain BlockSec.
Daripada hampir $9.1 juta dana yang dicuri daripada Platypus, ia adalah mendedahkan bahawa penyerang hanya boleh mengeluarkan $270,000, menurut MetalSleuth, alat visualisasi dari Blocksec.
Kira-kira $8.5 juta dana yang dicuri dibekukan dalam kontrak mereka telah dipindahkan ke, dan $380,000 lagi daripada percubaan eksploitasi kedua ialah secara tidak sengaja dihantar kembali ke Aave, menunjukkan data dalam rantaian.
Mendapatkan kembali sebahagian daripada dana yang dicuri untuk Platypus berkisar pada rancangan BlockSec untuk mengambil kesempatan daripada kelemahan dalam kontrak penyerang.
"Dengan memanfaatkan kelemahan ini, projek itu boleh memindahkan dana daripada kontrak penyerang ke akaun projek," kata Yajin Zhou, pengasas bersama BlockSec kepada The Block.
“Projek itu memperoleh semula $2 juta menggunakan bukti konsep yang disediakan oleh kami. Ini adalah untuk mendapatkan semula dana dalam kontrak penyerang,” menurut Zhou, yang menambah bahawa kira-kira $8 juta aset terkandas kerana kontrak penyerang tidak mempunyai fungsi pemindahan.
Panggil balik hack
Untuk mendapatkan kembali kripto, BlockSec menggunakan fungsi panggil balik dalam kontrak penyerang.
“Serangan itu dilancarkan melalui antara muka panggil balik pinjaman kilat dalam kontrak serangan. Fungsi panggil balik ini tidak mempunyai kawalan akses. Dan semasa fungsi panggil balik ini, penyerang mengekodkan logik untuk meluluskan USDC kepada kontrak projek (yang merupakan proksi),” kata Zhou.
“Jadi projek itu boleh mula-mula menggunakan fungsi panggil balik dalam kontrak penyerang untuk meluluskan USDC kepada kontrak projek. Kemudian kontrak projek boleh menarik balik USDC daripada kontrak penyerang dengan menaik taraf proksi kepada pelaksanaan baharu,” kata Zhou.
Pembetulan: Dikemas kini untuk membetulkan nama rasmi Platypus.
Sumber: https://www.theblock.co/post/212966/platypusdefi-salvages-2-4-million-in-hacked-funds-with-blocksecs-help?utm_source=rss&utm_medium=rss