Nachdem das Platypus-Protokoll gestern gehackt wurde, wurden mit Hilfe der Blockchain-Sicherheitsfirma BlockSec mindestens 2.4 Millionen USDC an die ausgenutzte Plattform zurückgegeben.
Von den fast 9.1 Millionen Dollar an gestohlenen Geldern von Platypus war es das enthüllt dass der Angreifer laut MetalSleuth, einem Visualisierungstool von Blocksec, nur 270,000 Dollar auszahlen konnte.
Etwa 8.5 Millionen US-Dollar an gestohlenen Geldern sind eingefroren Vertrag sie wurden übertragen, und weitere 380,000 $ aus einem zweiten versuchten Exploit wurden zufällig an Aave zurückgeschickt, On-Chain-Daten zeigen.
Die Wiedererlangung eines Teils der gestohlenen Gelder für Platypus drehte sich um den Plan von BlockSec, eine Lücke im Vertrag des Angreifers auszunutzen.
„Durch die Nutzung dieser Lücke kann das Projekt die Gelder aus dem Vertrag des Angreifers auf das Konto des Projekts überweisen“, sagte Yajin Zhou, Mitbegründer von BlockSec, gegenüber The Block.
„Das Projekt hat mit dem von uns bereitgestellten Proof of Concept 2 Millionen US-Dollar eingenommen. Dies diente dazu, die Gelder aus dem Vertrag des Angreifers zurückzugewinnen“, so Zhou, der hinzufügte, dass etwa 8 Millionen Dollar an Vermögenswerten gestrandet seien, da der Vertrag des Angreifers keine Transferfunktion habe.
Rufen Sie den Hack zurück
Um die Krypto zurückzubekommen, verwendete BlockSec eine Callback-Funktion im Vertrag des Angreifers.
„Der Angriff wurde über die Callback-Schnittstelle für Flash-Darlehen im Angriffsvertrag gestartet. Diese Callback-Funktion hat keine Zugriffskontrolle. Und während dieser Rückruffunktion hat der Angreifer die Logik hartcodiert, um USDC für den Projektvertrag (der ein Proxy ist) zu genehmigen“, bemerkte Zhou.
„So kann das Projekt zunächst die Callback-Funktion im Angreifervertrag aufrufen, um USDC für den Projektvertrag zu genehmigen. Dann kann der Projektvertrag den USDC vom Angreifervertrag zurückziehen, indem der Proxy auf eine neue Implementierung aktualisiert wird“, sagte Zhou.
Korrektur: Aktualisiert, um den offiziellen Namen von Platypus zu korrigieren.
Quelle: https://www.theblock.co/post/212966/platypusdefi-salvages-2-4-million-in-hacked-funds-with-blocksecs-help?utm_source=rss&utm_medium=rss