Pasi protokolli i Platypus u hakerua dje, të paktën 2.4 milionë USDC u kthyen në platformën e shfrytëzuar me ndihmën e firmës së sigurisë blockchain BlockSec.
Nga pothuajse 9.1 milionë dollarë fondet e vjedhura nga Platypus, ishte zbuluar se sulmuesi mund të arkëtonte vetëm 270,000 dollarë, sipas MetalSleuth, një mjet vizualizimi nga Blocksec.
Rreth 8.5 milionë dollarë fonde të vjedhura janë ngrirë në kontratë ato u transferuan dhe u transferuan 380,000 dollarë të tjerë nga një tentativë e dytë e shfrytëzimit rastësisht u kthye në Aave, tregojnë të dhënat në zinxhir.
Marrja e një pjese të fondeve të vjedhura për Platypus u rrotullua rreth planit të BlockSec për të përfituar nga një zbrazëti në kontratën e sulmuesit.
“Duke shfrytëzuar këtë boshllëk, projekti mund të transferojë fondet nga kontrata e sulmuesit në llogarinë e projektit,” tha Yajin Zhou, bashkëthemelues i BlockSec për The Block.
“Projekti rikuperoi 2 milionë dollarë duke përdorur provën e konceptit të ofruar nga ne. Kjo ishte për të rikuperuar fondet në kontratën e sulmuesit,” sipas Zhou, i cili shtoi se rreth 8 milionë dollarë në asete ishin bllokuar pasi kontrata e sulmuesit i mungon një funksion transferimi.
Përsëritja e thirrjes hak
Për të rikthyer kripto-n, BlockSec përdori një funksion të kthimit të thirrjes në kontratën e sulmuesit.
“Sulmi u nis përmes ndërfaqes së kthimit të kthimit të huasë në kontratën e sulmit. Ky funksion i kthimit të thirrjes nuk ka kontroll aksesi. Dhe gjatë këtij funksioni të kthimit të telefonatave, sulmuesi kodoi logjikën për të miratuar USDC në kontratën e projektit (e cila është një përfaqësues),” vuri në dukje Zhou.
“Pra, projekti mund të kërkojë fillimisht funksionin e kthimit të thirrjes në kontratën e sulmuesit për të miratuar USDC në kontratën e projektit. Pastaj kontrata e projektit mund të tërheqë USDC nga kontrata e sulmuesit duke përmirësuar proxy në një zbatim të ri, "tha Zhou.
Korrigjim: Përditësuar për të korrigjuar emrin zyrtar të Platypus.
Burimi: https://www.theblock.co/post/212966/platypusdefi-salvages-2-4-million-in-hacked-funds-with-blocksecs-help?utm_source=rss&utm_medium=rss