Matapos ma-hack ang Platypus protocol kahapon, hindi bababa sa 2.4 milyong USDC ang naibalik sa pinagsasamantalahang platform sa tulong ng blockchain security firm na BlockSec.
Sa halos $9.1 milyon sa mga ninakaw na pondo mula kay Platypus, ito ay nagsiwalat na ang umaatake ay maaari lamang mag-cash out ng $270,000, ayon sa MetalSleuth, isang visualization tool mula sa Blocksec.
Ang ilang $8.5 milyon ng mga ninakaw na pondo ay nagyelo sa kontrata sila ay inilipat sa, at isa pang $380,000 mula sa pangalawang pagtatangkang pagsasamantala ay aksidente ipinadala pabalik sa Aave, on-chain data show.
Ang pagkuha ng isang bahagi ng mga ninakaw na pondo para kay Platypus ay umikot sa plano ng BlockSec na samantalahin ang isang butas sa kontrata ng umaatake.
"Sa pamamagitan ng paggamit sa butas na ito, maaaring ilipat ng proyekto ang mga pondo mula sa kontrata ng attacker sa account ng proyekto," sinabi ni Yajin Zhou, co-founder ng BlockSec sa The Block.
“Nabawi ng proyekto ang $2 milyon gamit ang proof of concept na ibinigay sa amin. Ito ay para mabawi ang mga pondo sa kontrata ng attacker,” ayon kay Zhou, na idinagdag na mga $8 milyon na asset ang na-stranded dahil ang kontrata ng attacker ay walang transfer function.
I-callback ang hack
Para maibalik ang crypto, gumamit ang BlockSec ng callback function sa kontrata ng attacker.
“Ang pag-atake ay inilunsad sa pamamagitan ng flash loan callback interface sa kontrata ng pag-atake. Ang callback function na ito ay walang access control. At sa panahon ng callback function na ito, na-hardcode ng attacker ang logic para aprubahan ang USDC sa kontrata ng proyekto (na isang proxy),” sabi ni Zhou.
“Kaya ang proyekto ay maaari munang gumamit ng callback function sa kontrata ng attacker upang aprubahan ang USDC sa kontrata ng proyekto. Pagkatapos ay maaaring bawiin ng kontrata ng proyekto ang USDC mula sa kontrata ng attacker sa pamamagitan ng pag-upgrade ng proxy sa isang bagong pagpapatupad," sabi ni Zhou.
Pagwawasto: Na-update upang itama ang pormal na pangalan ni Platypus.
Pinagmulan: https://www.theblock.co/post/212966/platypusdefi-salvages-2-4-million-in-hacked-funds-with-blocksecs-help?utm_source=rss&utm_medium=rss