Po to, kai vakar buvo įsilaužta į Platypus protokolą, mažiausiai 2.4 milijono USDC buvo grąžinta į išnaudotą platformą padedant blokų grandinės saugos firmai BlockSec.
Iš beveik 9.1 milijono dolerių pavogtų lėšų iš Platypus taip ir buvo atskleidė Pagal „MetalSleuth“, „Blocksec“ vizualizacijos įrankį, užpuolikas galėjo išsigryninti tik 270,000 XNUMX USD.
Apie 8.5 milijono dolerių pavogtų lėšų yra įšaldyta sutartis jie buvo perkelti, o dar 380,000 XNUMX USD iš antrojo bandymo išnaudoti atsitiktinai išsiųstas atgal į Aave, rodo grandinės duomenys.
Dalies pavogtų lėšų „Platypus“ atgavimas buvo susijęs su „BlockSec“ planu pasinaudoti užpuoliko sutarties spraga.
„Išnaudojus šią spragą, projektas gali pervesti lėšas iš užpuoliko sutarties į projekto sąskaitą“, – „The Block“ sakė Yajin Zhou, „BlockSec“ įkūrėjas.
„Projektas atgavo 2 mln. USD, pasinaudodamas mūsų pateiktu koncepcijos įrodymu. Taip buvo siekiama susigrąžinti užpuoliko sutartyje nurodytas lėšas“, – sakė Zhou, kuris pridūrė, kad apie 8 mln.
Atšaukti įsilaužimą
Siekdama susigrąžinti kriptovaliutą, „BlockSec“ užpuoliko sutartyje panaudojo atgalinio ryšio funkciją.
„Ataka buvo pradėta per „Flash“ paskolos atgalinio skambučio sąsają atakos sutartyje. Ši atgalinio skambinimo funkcija neturi prieigos kontrolės. Ir atliekant šią atgalinio ryšio funkciją, užpuolikas užkodavo logiką, kad patvirtintų USDC projekto sutarčiai (tai yra tarpinis serveris)“, - pažymėjo Zhou.
„Taigi projektas pirmiausia gali panaudoti atgalinio ryšio funkciją užpuoliko sutartyje, kad patvirtintų USDC prie projekto sutarties. Tada projekto sutartis gali atšaukti USDC iš užpuoliko sutarties, atnaujindama tarpinį serverį į naują diegimą“, - sakė Zhou.
Pataisa: atnaujinta, kad būtų ištaisytas oficialus Platypus pavadinimas.
Šaltinis: https://www.theblock.co/post/212966/platypusdefi-salvages-2-4-million-in-hacked-funds-with-blocksecs-help?utm_source=rss&utm_medium=rss