Kun Platypus-protokolla hakkeroitiin eilen, ainakin 2.4 miljoonaa USDC palautettiin hyväksikäytetylle alustalle BlockSecin avulla.
Platypuksesta varastetuista lähes 9.1 miljoonan dollarin varoista se oli paljasti että hyökkääjä pystyi nostamaan vain 270,000 XNUMX dollaria Blocksecin visualisointityökalun MetalSleuthin mukaan.
Noin 8.5 miljoonan dollarin arvosta varastettuja varoja on jäädytettynä sopimus ne siirrettiin, ja vielä 380,000 XNUMX dollaria toisesta hyväksikäyttöyrityksestä vahingossa lähetetty takaisin Aavelle, ketjun tiedot osoittavat.
Osa varastetuista varoista saatiin takaisin Platypukselle, ja se pyöri BlockSecin suunnitelman ympärillä hyödyntää hyökkääjän sopimuksessa olevaa porsaanreikää.
"Hyödyntämällä tätä porsaanreikää projekti voi siirtää varat hyökkääjäsopimuksesta projektin tilille", BlockSecin perustaja Yajin Zhou kertoi The Blockille.
"Projekti sai takaisin 2 miljoonaa dollaria toimittamiemme todisteiden avulla. Tämän tarkoituksena oli saada takaisin hyökkääjän sopimuksessa olevat varat”, Zhou sanoi, joka lisäsi, että noin 8 miljoonan dollarin omaisuus jäi hukkaan, koska hyökkääjän sopimuksesta puuttuu siirtotoiminto.
Soita hakkerointiin
Saadakseen krypton takaisin BlockSec käytti takaisinsoittotoimintoa hyökkääjän sopimuksessa.
"Hyökkäys käynnistettiin hyökkäyssopimuksen flash-lainan takaisinsoittorajapinnan kautta. Tällä takaisinsoittotoiminnolla ei ole pääsynhallintaa. Ja tämän takaisinsoittotoiminnon aikana hyökkääjä koodasi logiikan hyväksyäkseen USDC:n projektin sopimukseen (joka on välityspalvelin), Zhou huomautti.
"Joten projekti voi ensin käyttää takaisinsoittotoimintoa hyökkääjäsopimuksessa hyväksyäkseen USDC:n projektin sopimukseen. Sitten projektisopimus voi poistaa USDC:n hyökkääjäsopimuksesta päivittämällä välityspalvelimen uuteen toteutukseen", sanoi Zhou.
Korjaus: Päivitetty korjaamaan Platypuksen muodollinen nimi.
Lähde: https://www.theblock.co/post/212966/platypusdefi-salvages-2-4-million-in-hacked-funds-with-blocksecs-help?utm_source=rss&utm_medium=rss