Пасля таго, як пратакол Platypus быў узламаны ўчора, па меншай меры 2.4 мільёна долараў ЗША былі вернутыя на эксплуатаваную платформу з дапамогай кампаніі па бяспецы блокчейна BlockSec.
З амаль 9.1 мільёна долараў, выкрадзеных у Platypus, гэта было выяўлена што зламыснік мог абнаявіць толькі 270,000 XNUMX долараў, паведамляе MetalSleuth, інструмент візуалізацыі ад Blocksec.
Каля 8.5 мільёнаў долараў выкрадзеных сродкаў замарожаныя кантракт яны былі пераведзены ў, і яшчэ $380,000 ад другой спробы эксплойта былі выпадкова адпраўлены назад у Aave, паказваюць даныя ў ланцужку.
Вяртанне часткі скрадзеных сродкаў для Platypus круцілася вакол плана BlockSec скарыстацца шчылінай у кантракце зламысніка.
«Выкарыстоўваючы гэтую шчыліну, праект можа перавесці сродкі з кантракту зламысніка на рахунак праекта», — сказаў Яджын Чжоу, сузаснавальнік BlockSec, The Block.
«Праект вярнуў 2 мільёны долараў з дапамогай прадастаўленага намі доказу канцэпцыі. Гэта было зроблена для таго, каб вярнуць сродкі ў кантракце зламысніка», - сказаў Чжоу, які дадаў, што каля 8 мільёнаў долараў актываў апынуліся на мель, паколькі ў кантракце зламысніка адсутнічае функцыя перадачы.
Зваротны званок хаку
Каб вярнуць крыпту, BlockSec выкарыстаў функцыю зваротнага выкліку ў кантракце зламысніка.
«Атака была запушчана праз інтэрфейс зваротнага выкліку флэш-пазыкі ў кантракце на атаку. Гэтая функцыя зваротнага выкліку не мае кантролю доступу. І падчас гэтай функцыі зваротнага выкліку зламыснік жорстка закадзіраваў логіку зацвярджэння USDC у кантракце праекта (які з'яўляецца проксі)», — адзначыў Чжоу.
«Такім чынам, праект можа спачатку выклікаць функцыю зваротнага выкліку ў кантракце зламысніка, каб зацвердзіць USDC у кантракце праекта. Затым кантракт праекта можа выключыць USDC з кантракту зламысніка шляхам абнаўлення проксі да новай рэалізацыі», — сказаў Чжоу.
Выпраўленне: абноўлена, каб выправіць афіцыйную назву Platypus.
Крыніца: https://www.theblock.co/post/212966/platypusdefi-salvages-2-4-million-in-hacked-funds-with-blocksecs-help?utm_source=rss&utm_medium=rss