Etter at Platypus-protokollen ble hacket i går, ble minst 2.4 millioner USDC returnert til den utnyttede plattformen med hjelp fra blockchain-sikkerhetsfirmaet BlockSec.
Av de nesten 9.1 millioner dollar i stjålne midler fra Platypus var det avslørt at angriperen bare kunne ta ut $270,000 XNUMX, ifølge MetalSleuth, et visualiseringsverktøy fra Blocksec.
Rundt 8.5 millioner dollar av stjålne midler er frosset ned i kontrakt de ble overført til, og ytterligere $380,000 XNUMX fra et andre forsøk på utnyttelse ble det ved et uhell sendt tilbake til Aave, viser on-chain data.
Å hente en del av de stjålne midlene til Platypus dreide seg om BlockSecs plan om å dra nytte av et smutthull i angriperens kontrakt.
"Ved å utnytte dette smutthullet, kan prosjektet overføre midlene fra angriperkontrakten til prosjektets konto," sa Yajin Zhou, medgründer av BlockSec til The Block.
«Prosjektet fikk inn 2 millioner dollar ved å bruke proof of concept fra oss. Dette var for å gjenvinne midlene i angriperens kontrakt,” ifølge Zhou, som la til at rundt 8 millioner dollar i eiendeler var strandet siden angriperkontrakten mangler en overføringsfunksjon.
Ring tilbake hacket
For å få tilbake kryptoen brukte BlockSec en tilbakeringingsfunksjon i angriperens kontrakt.
"Angrepet ble lansert gjennom tilbakeringingsgrensesnittet for flashlån i angrepskontrakten. Denne tilbakeringingsfunksjonen har ingen tilgangskontroll. Og under denne tilbakeringingsfunksjonen hardkodet angriperen logikken for å godkjenne USDC til prosjektets kontrakt (som er en proxy),» bemerket Zhou.
"Så prosjektet kan først påkalle tilbakeringingsfunksjonen i angriperkontrakten for å godkjenne USDC til prosjektets kontrakt. Da kan prosjektkontrakten trekke USDC fra angriperkontrakten ved å oppgradere proxyen til en ny implementering, sa Zhou.
Rettelse: Oppdatert for å korrigere Platypus sitt formelle navn.
Kilde: https://www.theblock.co/post/212966/platypusdefi-salvages-2-4-million-in-hacked-funds-with-blocksecs-help?utm_source=rss&utm_medium=rss