Pēc tam, kad vakar tika uzlauzts Platypus protokols, ar blokķēdes drošības firmas BlockSec palīdzību izmantotajā platformā tika atgriezti vismaz 2.4 miljoni USDC.
No gandrīz 9.1 miljona ASV dolāru nozagtajiem līdzekļiem no Platypus tā arī bija atklāja ka uzbrucējs varēja izņemt tikai 270,000 XNUMX USD, norāda MetalSleuth, Blocksec vizualizācijas rīks.
Aptuveni 8.5 miljonu dolāru apmērā nozagti līdzekļi ir iesaldēti līgums tie tika pārskaitīti, un vēl 380,000 XNUMX USD no otrā mēģinājuma izmantot nejauši nosūtīts atpakaļ Aave, liecina ķēdes dati.
Daļas nozagto līdzekļu atgūšana Platypus bija saistīta ar BlockSec plānu izmantot nepilnības uzbrucēja līgumā.
"Izmantojot šo nepilnību, projekts var pārskaitīt līdzekļus no uzbrucēja līguma uz projekta kontu," intervijā The Block sacīja Jajins Džou, BlockSec līdzdibinātājs.
"Projekts atguva 2 miljonus ASV dolāru, izmantojot mūsu sniegto koncepcijas pierādījumu. Tas bija paredzēts, lai atgūtu uzbrucēja līgumā esošos līdzekļus, ”sacīja Džou, kurš piebilda, ka aptuveni 8 miljonu dolāru aktīvi bija iestrēguši, jo uzbrucēja līgumā nav nodošanas funkcijas.
Atzvanīt uzlauzt
Lai atgūtu kriptovalūtu, BlockSec uzbrucēja līgumā izmantoja atzvanīšanas funkciju.
"Uzbrukums tika uzsākts, izmantojot zibatmiņas aizdevuma atzvanīšanas saskarni uzbrukuma līgumā. Šai atzvanīšanas funkcijai nav piekļuves kontroles. Un šīs atzvanīšanas funkcijas laikā uzbrucējs stingri iekodēja loģiku, lai apstiprinātu USDC projekta līgumam (kas ir starpniekserveris), ”atzīmēja Džou.
“Tātad projekts vispirms var izmantot atzvanīšanas funkciju uzbrucēja līgumā, lai apstiprinātu USDC projekta līgumam. Pēc tam projekta līgums var atsaukt USDC no uzbrucēja līguma, jauninot starpniekserveri uz jaunu ieviešanu, ”sacīja Džou.
Labojums: atjaunināts, lai labotu Platypus oficiālo nosaukumu.
Avots: https://www.theblock.co/post/212966/platypusdefi-salvages-2-4-million-in-hacked-funds-with-blocksecs-help?utm_source=rss&utm_medium=rss