финанси

Platypus спасява 2.4 милиона долара в хакнати средства с помощта на BlockSec

02/18/2023
Новини за Bitcoin Ethereum

Публикуван 50 минути по-рано on
Публикуван 2 часа и 50 минути по-рано on

След като протоколът Platypus беше хакнат вчера, най-малко 2.4 милиона USDC бяха върнати на експлоатираната платформа с помощта на фирмата за сигурност на блокчейн BlockSec.

От почти 9.1 милиона долара откраднати средства от Platypus беше разкри че нападателят може да осребри само $270,000 XNUMX, според MetalSleuth, инструмент за визуализация от Blocksec.

Около 8.5 милиона долара откраднати средства са замразени в договор те бяха прехвърлени на и други $380,000 XNUMX от втори опит за експлоатация бяха случайно изпратено обратно на Aave, показват данните във веригата.

Възстановяването на част от откраднатите средства за Platypus се въртеше около плана на BlockSec да се възползва от вратичка в договора на нападателя.

„Като се възползва от тази вратичка, проектът може да прехвърли средствата от договора на нападателя към сметката на проекта“, каза Yajin Zhou, съосновател на BlockSec пред The ​​Block.

„Проектът възстанови 2 милиона долара, използвайки доказателството за концепция, предоставено от нас. Това беше, за да се възстановят средствата в договора на нападателя“, според Джоу, който добави, че около 8 милиона долара в активи са блокирани, тъй като в договора на нападателя липсва функция за прехвърляне.

Обратно извикване на хака

За да върне крипто, BlockSec използва функция за обратно извикване в договора на нападателя.

„Атаката беше стартирана чрез интерфейса за обратно извикване на флаш заем в договора за атака. Тази функция за обратно извикване няма контрол на достъпа. И по време на тази функция за обратно извикване, нападателят кодира твърдо логиката за одобряване на USDC към договора на проекта (който е прокси),” отбеляза Джоу.

„Така че проектът може първо да извика функцията за обратно извикване в договора на атакуващия, за да одобри USDC към договора на проекта. След това договорът за проекта може да оттегли USDC от договора на нападателя чрез надграждане на проксито до нова реализация“, каза Джоу.

Корекция: Актуализирано, за да се коригира официалното име на Platypus. 

Източник: https://www.theblock.co/post/212966/platypusdefi-salvages-2-4-million-in-hacked-funds-with-blocksecs-help?utm_source=rss&utm_medium=rss