Depois que o protocolo Platypus foi hackeado ontem, pelo menos 2.4 milhões de USDC foram devolvidos à plataforma explorada com a ajuda da empresa de segurança blockchain BlockSec.
Dos quase US$ 9.1 milhões em fundos roubados do Platypus, foi revelou que o invasor só poderia sacar $ 270,000, de acordo com MetalSleuth, uma ferramenta de visualização da Blocksec.
Cerca de US$ 8.5 milhões em fundos roubados estão congelados no contract eles foram transferidos, e outros $ 380,000 de uma segunda tentativa de exploração foram acidentalmente enviado de volta para Aave, show de dados on-chain.
A recuperação de uma parte dos fundos roubados para o Platypus girava em torno do plano da BlockSec de aproveitar uma brecha no contrato do invasor.
“Ao aproveitar essa brecha, o projeto pode transferir os fundos do contrato do invasor para a conta do projeto”, disse Yajin Zhou, cofundador da BlockSec ao The Block.
“O projeto recuperou US$ 2 milhões usando a prova de conceito fornecida por nós. Isso foi para recuperar os fundos do contrato do atacante”, de acordo com Zhou, que acrescentou que cerca de US$ 8 milhões em ativos foram retidos porque o contrato do atacante carece de uma função de transferência.
Chame de volta o hack
Para recuperar a criptografia, a BlockSec usou uma função de retorno de chamada no contrato do invasor.
“O ataque foi lançado por meio da interface de retorno de chamada de empréstimo flash no contrato de ataque. Esta função de retorno de chamada não tem controle de acesso. E durante essa função de retorno de chamada, o invasor codificou a lógica para aprovar o USDC para o contrato do projeto (que é um proxy)”, observou Zhou.
“Portanto, o projeto pode primeiro invocar a função de retorno de chamada no contrato do invasor para aprovar o USDC para o contrato do projeto. Em seguida, o contrato do projeto pode retirar o USDC do contrato do invasor, atualizando o proxy para uma nova implementação”, disse Zhou.
Correção: Atualizado para corrigir o nome formal de Platypus.
Fonte: https://www.theblock.co/post/212966/platypusdefi-salvages-2-4-million-in-hacked-funds-with-blocksecs-help?utm_source=rss&utm_medium=rss