Nadat het Platypus-protocol gisteren was gehackt, werd met hulp van blockchain-beveiligingsbedrijf BlockSec ten minste 2.4 miljoen USDC teruggestuurd naar het uitgebuite platform.
Van de bijna $ 9.1 miljoen aan gestolen fondsen van Platypus was dat wel het geval onthuld dat de aanvaller slechts $ 270,000 kon uitbetalen, volgens MetalSleuth, een visualisatietool van Blocksec.
Ongeveer $ 8.5 miljoen aan gestolen geld is bevroren in de contract ze werden overgebracht naar, en nog eens $ 380,000 van een tweede poging tot misbruik was per ongeluk teruggestuurd naar Aave, on-chain data show.
Het terughalen van een deel van het gestolen geld voor Platypus draaide om het plan van BlockSec om te profiteren van een maas in het contract van de aanvaller.
"Door gebruik te maken van deze maas in de wet kan het project het geld van het contract van de aanvaller overboeken naar de rekening van het project", vertelde Yajin Zhou, mede-oprichter van BlockSec aan The Block.
“Het project verdiende $ 2 miljoen met behulp van de door ons geleverde proof of concept. Dit was om het geld in het contract van de aanvaller terug te vorderen”, aldus Zhou, die eraan toevoegde dat ongeveer $ 8 miljoen aan activa was gestrand omdat het contract van de aanvaller geen overdrachtsfunctie heeft.
Roep de hack terug
Om de crypto terug te krijgen, gebruikte BlockSec een callback-functie in het contract van de aanvaller.
“De aanval werd gelanceerd via de terugbelinterface voor flitsleningen in het aanvalscontract. Deze callback-functie heeft geen toegangscontrole. En tijdens deze callback-functie heeft de aanvaller de logica hard gecodeerd om USDC goed te keuren voor het contract van het project (wat een proxy is),' merkte Zhou op.
“Dus het project kan eerst de callback-functie in het aanvallercontract aanroepen om USDC goed te keuren voor het contract van het project. Vervolgens kan het projectcontract de USDC uit het contract van de aanvaller halen door de proxy te upgraden naar een nieuwe implementatie”, aldus Zhou.
Correctie: bijgewerkt om de officiële naam van Platypus te corrigeren.
Bron: https://www.theblock.co/post/212966/platypusdefi-salvages-2-4-million-in-hacked-funds-with-blocksecs-help?utm_source=rss&utm_medium=rss