După ce protocolul Platypus a fost piratat ieri, cel puțin 2.4 milioane USDC au fost returnați platformei exploatate cu ajutorul firmei de securitate blockchain BlockSec.
Din cele aproape 9.1 milioane de dolari în fonduri furate de la Platypus, așa a fost dezvăluit că atacatorul ar putea încasa doar 270,000 de dolari, potrivit MetalSleuth, un instrument de vizualizare de la Blocksec.
Aproximativ 8.5 milioane de dolari din fonduri furate sunt înghețate în contract au fost transferați la, și alți 380,000 de dolari dintr-o a doua încercare de exploatare au fost accidental trimis înapoi la Aave, arată datele în lanț.
Recuperarea unei părți din fondurile furate pentru Platypus s-a învârtit în jurul planului BlockSec de a profita de o lacună din contractul atacatorului.
„Prin valorificarea acestei lacune, proiectul poate transfera fondurile din contractul atacatorului în contul proiectului”, a declarat Yajin Zhou, cofondatorul BlockSec, pentru The Block.
„Proiectul a recuperat 2 milioane de dolari folosind dovada conceptului oferită de noi. Acesta a fost pentru a recupera fondurile din contractul atacatorului”, potrivit Zhou, care a adăugat că aproximativ 8 milioane de dolari în active au fost blocate, deoarece contractul atacatorului nu are o funcție de transfer.
Reapelați hack-ul
Pentru a recupera cripto-ul, BlockSec a folosit o funcție de apel invers în contractul atacatorului.
„Atacul a fost lansat prin intermediul interfeței flash de apel invers din contractul de atac. Această funcție de apel invers nu are control de acces. Și în timpul acestei funcții de apel invers, atacatorul a codificat logica pentru a aproba USDC pentru contractul proiectului (care este un proxy)”, a menționat Zhou.
„Deci proiectul poate invoca mai întâi funcția de apel invers din contractul atacatorului pentru a aproba USDC pentru contractul proiectului. Apoi, contractul de proiect poate retrage USDC din contractul atacatorului prin actualizarea proxy-ului la o nouă implementare”, a spus Zhou.
Corecție: Actualizat pentru a corecta numele oficial al lui Platypus.
Sursa: https://www.theblock.co/post/212966/platypusdefi-salvages-2-4-million-in-hacked-funds-with-blocksecs-help?utm_source=rss&utm_medium=rss