לאחר שפרוטוקול Platypus נפרץ אתמול, לפחות 2.4 מיליון USDC הוחזרו לפלטפורמה המנוצלת בעזרת חברת אבטחת הבלוקצ'יין BlockSec.
מתוך כמעט 9.1 מיליון דולר בכספים שנגנבו מפלאטיפוס, זה היה גילה שהתוקף יכול להוציא רק 270,000 דולר, לפי MetalSleuth, כלי הדמיה מבית Blocksec.
כ-8.5 מיליון דולר של כספים גנובים מוקפאים באזור חוזה הם הועברו, ועוד 380,000 דולר מניסיון שני היו בטעות נשלח בחזרה ל-Aave, נתוני השרשרת מראים.
שליפת חלק מהכספים הגנובים עבור Platypus נסבה סביב התוכנית של BlockSec לנצל פרצה בחוזה של התוקף.
"על ידי מינוף הפרצה הזו, הפרויקט יכול להעביר את הכספים מחוזה התוקף לחשבון הפרויקט", אמר Yajin Zhou, מייסד שותף של BlockSec ל-The Block.
"הפרויקט החזיר 2 מיליון דולר באמצעות הוכחת הרעיון שסיפקנו. זה היה כדי להחזיר את הכספים בחוזה של התוקף", לדברי ז'ואו, שהוסיף כי נכסים של כ-8 מיליון דולר נתקעו מכיוון שחוזה התוקף חסר פונקציית העברה.
התקשר בחזרה לפריצה
כדי להחזיר את הקריפטו, BlockSec השתמש בפונקציית התקשרות חוזרת בחוזה של התוקף.
"המתקפה יצאה לדרך באמצעות ממשק החזרה של הלוואת פלאש בחוזה ההתקפה. לפונקציית התקשרות חוזרת זו אין בקרת גישה. ובמהלך פונקציית החזרה זו, התוקף קידד את ההיגיון כדי לאשר את ה-USDC לחוזה של הפרויקט (שהוא פרוקסי)", ציין ג'ואו.
"אז הפרויקט יכול להפעיל תחילה את פונקציית ה-callback בחוזה התוקף כדי לאשר USDC לחוזה של הפרויקט. אז חוזה הפרויקט יכול למשוך את ה-USDC מחוזה התוקף על ידי שדרוג ה-proxy ליישום חדש", אמר ג'ואו.
תיקון: עודכן לתיקון שמו הרשמי של פלטיפוס.
מקור: https://www.theblock.co/post/212966/platypusdefi-salvages-2-4-million-in-hacked-funds-with-blocksecs-help?utm_source=rss&utm_medium=rss