Efter at Platypus-protokollen blev hacket i går, blev mindst 2.4 millioner USDC returneret til den udnyttede platform med hjælp fra blockchain-sikkerhedsfirmaet BlockSec.
Af de næsten 9.1 millioner dollars i stjålne midler fra Platypus var det afslørede at angriberen kun kunne udbetale $270,000, ifølge MetalSleuth, et visualiseringsværktøj fra Blocksec.
Omkring 8.5 millioner dollars af stjålne midler er frosset i kontrakt de blev overført til, og yderligere $380,000 fra et andet forsøg på udnyttelse blev ved en fejltagelse sendt tilbage til Aave, viser on-chain data.
At hente en del af de stjålne midler til Platypus drejede sig om BlockSecs plan om at drage fordel af et smuthul i angriberens kontrakt.
"Ved at udnytte dette smuthul kan projektet overføre midlerne fra angriberkontrakten til projektets konto," fortalte Yajin Zhou, medstifter af BlockSec til The Block.
"Projektet inddrev $2 millioner ved at bruge proof of concept fra os. Dette var for at inddrive midlerne i angriberens kontrakt,” ifølge Zhou, der tilføjede, at omkring 8 millioner dollars i aktiver var strandet, da angriberkontrakten mangler en overførselsfunktion.
Ring tilbage til hacket
For at få kryptoen tilbage brugte BlockSec en tilbagekaldsfunktion i angriberens kontrakt.
"Angrebet blev lanceret gennem flash-lån tilbagekaldsgrænsefladen i angrebskontrakten. Denne tilbagekaldsfunktion har ingen adgangskontrol. Og under denne tilbagekaldsfunktion hårdkodede angriberen logikken for at godkende USDC til projektets kontrakt (som er en proxy),« bemærkede Zhou.
"Så projektet kan først påkalde tilbagekaldsfunktionen i angriberkontrakten for at godkende USDC til projektets kontrakt. Så kan projektkontrakten trække USDC tilbage fra angriberkontrakten ved at opgradere proxyen til en ny implementering,” sagde Zhou.
Rettelse: Opdateret for at rette Platypus' formelle navn.
Kilde: https://www.theblock.co/post/212966/platypusdefi-salvages-2-4-million-in-hacked-funds-with-blocksecs-help?utm_source=rss&utm_medium=rss