Platypus protokolü dün hacklendikten sonra, blockchain güvenlik firması BlockSec'in yardımıyla en az 2.4 milyon USDC, istismar edilen platforma iade edildi.
Platypus'tan çalınan yaklaşık 9.1 milyon doların ortaya Blocksec'in bir görselleştirme aracı olan MetalSleuth'a göre, saldırganın yalnızca 270,000 $ nakit çekebileceği.
8.5 milyon dolarlık çalıntı fon donduruldu sözleşme transfer edildiler ve ikinci bir istismar girişiminden elde edilen 380,000 $ daha kazara Aave'ye geri gönderildi, zincir üstü veri gösterisi.
Platypus için çalınan fonların bir kısmının geri alınması, BlockSec'in saldırganın sözleşmesindeki bir boşluktan yararlanma planı etrafında dönüyordu.
BlockSec'in kurucu ortağı Yajin Zhou, The Block'a “Bu boşluktan yararlanarak proje, saldırgan sözleşmesindeki fonları projenin hesabına aktarabilir” dedi.
"Proje, tarafımızdan sağlanan konsept kanıtını kullanarak 2 milyon doları geri kazandı. Bu, saldırganın sözleşmesindeki fonları geri almak içindi” diyen Zhou'ya göre, saldırganın sözleşmesinde transfer işlevi bulunmadığı için yaklaşık 8 milyon dolarlık varlığın mahsur kaldığını da sözlerine ekledi.
Hack'i geri ara
BlockSec, kriptoyu geri almak için saldırganın sözleşmesinde bir geri arama işlevi kullandı.
“Saldırı, saldırı sözleşmesindeki flash kredi geri arama arayüzü aracılığıyla başlatıldı. Bu geri arama işlevinin erişim kontrolü yoktur. Ve bu geri arama işlevi sırasında, saldırgan USDC'yi onaylama mantığını projenin sözleşmesine (ki bu bir proxy'dir) kodladı," dedi Zhou.
"Böylece proje, proje sözleşmesine USDC'yi onaylamak için önce saldırgan sözleşmesindeki geri arama işlevini çağırabilir. Ardından proje sözleşmesi, proxy'yi yeni bir uygulamaya yükselterek USDC'yi saldırgan sözleşmesinden geri çekebilir," dedi Zhou.
Düzeltme: Platypus'un resmi adını düzeltmek için güncellendi.
Kaynak: https://www.theblock.co/post/212966/platypusdefi-salvages-2-4-million-in-hacked-funds-with-blocksecs-help?utm_source=rss&utm_medium=rss