За допомогою BlockSec Platypus рятує 2.4 мільйона доларів зламаних коштів

Після того, як протокол Platypus був зламаний вчора, принаймні 2.4 мільйона доларів США було повернуто на експлуатовану платформу за допомогою фірми безпеки блокчейну BlockSec.

З майже 9.1 мільйона доларів, викрадених у Platypus, це було виявлено Згідно з MetalSleuth, інструментом візуалізації від Blocksec, зловмисник міг перевести лише 270,000 XNUMX доларів.

Близько 8.5 мільйонів доларів викрадених коштів заморожені контракт їх було переведено до, а також ще 380,000 XNUMX доларів США від другої спроби експлойту випадково надіслано назад до Aave, показують дані в мережі.

Повернення частини вкрадених коштів для Platypus оберталося навколо плану BlockSec скористатися лазівкою в контракті зловмисника.

«Використовуючи цю лазівку, проект може перерахувати кошти з контракту зловмисника на рахунок проекту», — сказав Яджін Чжоу, співзасновник BlockSec, The Block.

«Проект повернув 2 мільйони доларів, використовуючи надане нами підтвердження концепції. Це було зроблено для того, щоб повернути кошти за контрактом зловмисника», — сказав Чжоу, який додав, що активи на суму близько 8 мільйонів доларів виявилися заблокованими, оскільки в контракті зловмисника відсутня функція передачі.

Зворотний виклик злому

Щоб повернути крипто, BlockSec використав функцію зворотного виклику в контракті зловмисника.

«Атаку було здійснено через інтерфейс зворотного виклику флеш-позики в контракті на атаку. Ця функція зворотного виклику не має контролю доступу. І під час цієї функції зворотного виклику зловмисник жорстко закодував логіку затвердження USDC у контракті проекту (який є проксі)”, – зазначив Чжоу.

«Отже, проект може спочатку викликати функцію зворотного виклику в контракті зловмисника, щоб затвердити USDC для контракту проекту. Тоді контракт проекту може вилучити USDC з контракту зловмисника, оновивши проксі до нової реалізації», — сказав Чжоу.

Виправлення: оновлено, щоб виправити офіційну назву Platypus.