З дапамогай BlockSec Platypus ратуе 2.4 мільёна долараў узламаных сродкаў

Пасля таго, як пратакол Platypus быў узламаны ўчора, па меншай меры 2.4 мільёна долараў ЗША былі вернутыя на эксплуатаваную платформу з дапамогай кампаніі па бяспецы блокчейна BlockSec.

З амаль 9.1 мільёна долараў, выкрадзеных у Platypus, гэта было выяўлена што зламыснік мог абнаявіць толькі 270,000 XNUMX долараў, паведамляе MetalSleuth, інструмент візуалізацыі ад Blocksec.

Каля 8.5 мільёнаў долараў выкрадзеных сродкаў замарожаныя кантракт яны былі пераведзены ў, і яшчэ $380,000 ад другой спробы эксплойта былі выпадкова адпраўлены назад у Aave, паказваюць даныя ў ланцужку.

Вяртанне часткі скрадзеных сродкаў для Platypus круцілася вакол плана BlockSec скарыстацца шчылінай у кантракце зламысніка.

«Выкарыстоўваючы гэтую шчыліну, праект можа перавесці сродкі з кантракту зламысніка на рахунак праекта», — сказаў Яджын Чжоу, сузаснавальнік BlockSec, The Block.

«Праект вярнуў 2 мільёны долараў з дапамогай прадастаўленага намі доказу канцэпцыі. Гэта было зроблена для таго, каб вярнуць сродкі ў кантракце зламысніка», - сказаў Чжоу, які дадаў, што каля 8 мільёнаў долараў актываў апынуліся на мель, паколькі ў кантракце зламысніка адсутнічае функцыя перадачы.

Зваротны званок хаку

Каб вярнуць крыпту, BlockSec выкарыстаў функцыю зваротнага выкліку ў кантракце зламысніка.

«Атака была запушчана праз інтэрфейс зваротнага выкліку флэш-пазыкі ў кантракце на атаку. Гэтая функцыя зваротнага выкліку не мае кантролю доступу. І падчас гэтай функцыі зваротнага выкліку зламыснік жорстка закадзіраваў логіку зацвярджэння USDC у кантракце праекта (які з'яўляецца проксі)», — адзначыў Чжоу.

«Такім чынам, праект можа спачатку выклікаць функцыю зваротнага выкліку ў кантракце зламысніка, каб зацвердзіць USDC у кантракце праекта. Затым кантракт праекта можа выключыць USDC з кантракту зламысніка шляхам абнаўлення проксі да новай рэалізацыі», — сказаў Чжоу.

Выпраўленне: абноўлена, каб выправіць афіцыйную назву Platypus.