Dopo che il protocollo Platypus è stato violato ieri, almeno 2.4 milioni di USDC sono stati restituiti alla piattaforma sfruttata con l'aiuto della società di sicurezza blockchain BlockSec.
Dei quasi $ 9.1 milioni di fondi rubati da Platypus, lo era rivelato che l'attaccante poteva incassare solo $ 270,000, secondo MetalSleuth, uno strumento di visualizzazione di Blocksec.
Circa 8.5 milioni di dollari di fondi rubati sono congelati nel contratto sono stati trasferiti a, e altri $ 380,000 da un secondo tentativo di exploit lo sono stati accidentalmente rispedito ad Aave, spettacolo di dati sulla catena.
Il recupero di una parte dei fondi rubati per Platypus ruotava attorno al piano di BlockSec per sfruttare una scappatoia nel contratto dell'attaccante.
"Sfruttando questa scappatoia, il progetto può trasferire i fondi dal contratto dell'attaccante al conto del progetto", ha detto a The Block Yajin Zhou, co-fondatore di BlockSec.
“Il progetto ha recuperato 2 milioni di dollari utilizzando il proof of concept fornito da noi. Questo per recuperare i fondi nel contratto dell'aggressore”, secondo Zhou, che ha aggiunto che circa 8 milioni di dollari di attività sono rimasti bloccati poiché il contratto dell'aggressore manca di una funzione di trasferimento.
Richiama l'hack
Per recuperare la crittografia, BlockSec ha utilizzato una funzione di callback nel contratto dell'attaccante.
“L'attacco è stato lanciato attraverso l'interfaccia di richiamata del prestito flash nel contratto di attacco. Questa funzione di callback non ha alcun controllo di accesso. E durante questa funzione di callback, l'attaccante ha codificato la logica per approvare USDC al contratto del progetto (che è un proxy)”, ha osservato Zhou.
“Quindi il progetto può prima richiamare la funzione di richiamata nel contratto dell'attaccante per approvare USDC al contratto del progetto. Quindi il contratto del progetto può ritirare l'USDC dal contratto dell'attaccante aggiornando il proxy a una nuova implementazione", ha affermato Zhou.
Correzione: aggiornato per correggere il nome formale di Platypus.
Fonte: https://www.theblock.co/post/212966/platypusdefi-salvages-2-4-million-in-hacked-funds-with-blocksecs-help?utm_source=rss&utm_medium=rss