После вчерашнего взлома протокола Platypus не менее 2.4 миллиона долларов США было возвращено на эксплуатируемую платформу с помощью компании BlockSec, занимающейся безопасностью блокчейна.
Из почти 9.1 миллиона долларов, украденных у Platypus, было показал, что злоумышленник мог обналичить только 270,000 XNUMX долларов, согласно MetalSleuth, инструменту визуализации от Blocksec.
Около 8.5 миллионов долларов украденных средств заморожены в контракт они были переведены, и еще 380,000 XNUMX долларов от второй попытки эксплойта были случайно отправлены обратно в Aave, показывают данные по цепочке.
Возвращение части украденных средств для Platypus было связано с планом BlockSec по использованию лазейки в контракте злоумышленника.
«Используя эту лазейку, проект может перевести средства с контракта злоумышленника на счет проекта», — сказал The Block Яджин Чжоу, соучредитель BlockSec.
«Проект возместил 2 миллиона долларов, используя предоставленное нами доказательство концепции. Это было сделано для того, чтобы вернуть средства по контракту злоумышленника», — сказал Чжоу, добавив, что активы на сумму около 8 миллионов долларов оказались заблокированными, поскольку в контракте злоумышленника отсутствует функция передачи.
Обратный вызов взлома
Чтобы вернуть криптовалюту, BlockSec использовала функцию обратного вызова в контракте злоумышленника.
«Атака была запущена через интерфейс обратного вызова флэш-кредита в контракте на атаку. Эта функция обратного вызова не имеет контроля доступа. И во время этой функции обратного вызова злоумышленник жестко запрограммировал логику для утверждения USDC в контракте проекта (который является прокси)», — отметил Чжоу.
«Таким образом, проект может сначала вызвать функцию обратного вызова в контракте злоумышленника, чтобы утвердить USDC в контракте проекта. Затем контракт проекта может вывести USDC из контракта злоумышленника, обновив прокси до новой реализации», — сказал Чжоу.
Исправление: Обновлено, чтобы исправить официальное имя Platypus.
Источник: https://www.theblock.co/post/212966/platypusdefi-salvages-2-4-million-in-hacked-funds-with-blocksecs-help?utm_source=rss&utm_medium=rss