بعد اختراق بروتوكول Platypus بالأمس ، تمت إعادة ما لا يقل عن 2.4 مليون دولار أمريكي إلى المنصة المستغلة بمساعدة شركة BlockSec للأمان في blockchain.
من بين ما يقرب من 9.1 مليون دولار من الأموال المسروقة من Platypus ، كان الأمر كذلك كشف أن المهاجم يمكنه فقط صرف 270,000 ألف دولار ، وفقًا لـ MetalSleuth ، أداة التصور من Blocksec.
تم تجميد حوالي 8.5 مليون دولار من الأموال المسروقة في عقد تم تحويلهم إلى ، و 380,000 دولار أخرى من محاولة استغلال ثانية كانت من غير قصد أرسل مرة أخرى إلى Aave ، عرض البيانات على السلسلة.
تمحورت استعادة جزء من الأموال المسروقة لـ Platypus حول خطة BlockSec للاستفادة من ثغرة في عقد المهاجم.
قال Yajin Zhou ، الشريك المؤسس لشركة BlockSec لموقع The Block: "من خلال الاستفادة من هذه الثغرة ، يمكن للمشروع تحويل الأموال من عقد المهاجم إلى حساب المشروع".
"استعاد المشروع 2 مليون دولار باستخدام إثبات المفهوم الذي قدمناه. كان هذا لاسترداد الأموال في عقد المهاجم "، وفقًا لما ذكره تشو ، الذي أضاف أن حوالي 8 ملايين دولار من الأصول تقطعت بهم السبل لأن عقد المهاجم يفتقر إلى وظيفة النقل.
رد الاتصال الاختراق
لاستعادة التشفير ، استخدمت BlockSec وظيفة رد الاتصال في عقد المهاجم.
"تم شن الهجوم من خلال واجهة رد الاتصال على قرض فلاش في عقد الهجوم. لا تحتوي وظيفة رد الاتصال هذه على تحكم في الوصول. وأثناء وظيفة رد الاتصال هذه ، قام المهاجم بترميز المنطق للموافقة على USDC لعقد المشروع (وهو وكيل) ".
"لذلك يمكن للمشروع أولاً استدعاء وظيفة رد الاتصال في عقد المهاجم للموافقة على USDC لعقد المشروع. بعد ذلك ، يمكن لعقد المشروع سحب USDC من عقد المهاجم عن طريق ترقية الوكيل إلى تطبيق جديد ، "قال تشو.
تصحيح: تم التحديث لتصحيح الاسم الرسمي لخلد الماء.
المصدر: https://www.theblock.co/post/212966/platypusdefi-salvages-2-4-million-in-hacked-funds-with-blocksecs-help؟utm_source=rss&utm_medium=rss