Setelah protokol Platypus diretas kemarin, setidaknya 2.4 juta USDC dikembalikan ke platform yang dieksploitasi dengan bantuan dari perusahaan keamanan blockchain, BlockSec.
Dari hampir $9.1 juta dana yang dicuri dari Platypus, itu benar mengungkapkan bahwa penyerang hanya dapat menguangkan $270,000, menurut MetalSleuth, alat visualisasi dari Blocksec.
Sekitar $ 8.5 juta dana curian dibekukan di kontrak mereka ditransfer ke, dan $380,000 lagi dari upaya eksploitasi kedua tanpa sengaja dikirim kembali ke Aave, data on-chain ditampilkan.
Mengambil sebagian dari dana yang dicuri untuk Platypus berkisar pada rencana BlockSec untuk memanfaatkan celah dalam kontrak penyerang.
“Dengan memanfaatkan celah ini, proyek dapat mentransfer dana dari kontrak penyerang ke akun proyek,” kata Yajin Zhou, salah satu pendiri BlockSec kepada The Block.
“Proyek ini memperoleh $2 juta menggunakan bukti konsep yang kami berikan. Ini untuk memulihkan dana dalam kontrak penyerang,” menurut Zhou, yang menambahkan bahwa sekitar $8 juta aset terlantar karena kontrak penyerang tidak memiliki fungsi transfer.
Panggil kembali peretasan
Untuk mendapatkan kembali kripto, BlockSec menggunakan fungsi panggilan balik dalam kontrak penyerang.
“Serangan diluncurkan melalui antarmuka flash loan callback dalam kontrak serangan. Fungsi panggilan balik ini tidak memiliki kontrol akses. Dan selama fungsi panggilan balik ini, penyerang meng-hardcode logika untuk menyetujui USDC ke kontrak proyek (yang merupakan proksi), ”kata Zhou.
“Jadi proyek pertama-tama dapat memanggil fungsi panggilan balik dalam kontrak penyerang untuk menyetujui USDC ke kontrak proyek. Kemudian kontrak proyek dapat menarik USDC dari kontrak penyerang dengan memutakhirkan proxy ke implementasi baru, ”kata Zhou.
Koreksi: Diperbarui untuk mengoreksi nama resmi Platipus.
Sumber: https://www.theblock.co/post/212966/platypusdefi-salvages-2-4-million-in-hacked-funds-with-blocksecs-help?utm_source=rss&utm_medium=rss