Платипус спасува 2.4 милиони долари од хакирани средства со помош на BlockSec

Откако протоколот Платипус беше хакиран вчера, најмалку 2.4 милиони USDC беа вратени на експлоатираната платформа со помош од фирмата за безбедност на блокчејн BlockSec.

Од скоро 9.1 милион долари украдени средства од Платипус, тоа беше откри дека напаѓачот може да искешира само 270,000 долари, според MetalSleuth, алатка за визуелизација од Blocksec.

Околу 8.5 милиони долари украдени средства се замрзнати во Договор тие беа префрлени, а беа префрлени уште 380,000 долари од втор обид за експлоатација случајно испратени назад во Aave, покажуваат податоците на синџирот.

Повлекувањето на дел од украдените средства за Платипус се вртеше околу планот на BlockSec да ја искористи дупката во договорот на напаѓачот.

„Со искористување на оваа дупка, проектот може да ги пренесе средствата од договорот со напаѓачот на сметката на проектот“, изјави Јаџин Џоу, ко-основач на BlockSec за The Block.

„Проектот врати 2 милиони американски долари користејќи го доказот за концепт што го обезбедивме. Ова беше за враќање на средствата од договорот на напаѓачот“, според Џоу, кој додаде дека имотот од околу 8 милиони долари е заглавен бидејќи договорот со напаѓачот нема трансфер функција.

Пробие повратен повик

За да го врати крипто, BlockSec користеше функција за повратен повик во договорот на напаѓачот.

„Нападот беше лансиран преку интерфејсот за повратен повик за флеш заем во договорот за напад. Оваа функција за повратен повик нема контрола на пристап. И за време на оваа функција за повратен повик, напаѓачот ја кодираше логиката за да го одобри USDC на договорот на проектот (кој е прокси)“, забележа Џоу.

„Значи, проектот може прво да ја повика функцијата за повратен повик во договорот со напаѓачот за да го одобри USDC на договорот на проектот. Потоа, договорот за проектот може да го повлече USDC од договорот со напаѓачот со надградба на прокси до нова имплементација“, рече Џоу.

Исправка: Ажурирано за да се поправи формалното име на Платипус.