Après le piratage du protocole Platypus hier, au moins 2.4 millions d'USDC ont été renvoyés sur la plate-forme exploitée avec l'aide de la société de sécurité blockchain BlockSec.
Sur les près de 9.1 millions de dollars de fonds volés à Platypus, c'était révélé que l'attaquant ne pouvait encaisser que 270,000 XNUMX $, selon MetalSleuth, un outil de visualisation de Blocksec.
Quelque 8.5 millions de dollars de fonds volés sont gelés dans le contrat ils ont été transférés, et 380,000 XNUMX $ supplémentaires provenant d'une deuxième tentative d'exploitation ont été accidentellement renvoyé à Aave, émission de données en chaîne.
La récupération d'une partie des fonds volés pour Platypus tournait autour du plan de BlockSec visant à tirer parti d'une faille dans le contrat de l'attaquant.
"En tirant parti de cette faille, le projet peut transférer les fonds du contrat de l'attaquant vers le compte du projet", a déclaré Yajin Zhou, co-fondateur de BlockSec à The Block.
« Le projet a récupéré 2 millions de dollars en utilisant la preuve de concept que nous avons fournie. Il s'agissait de récupérer les fonds du contrat de l'attaquant », selon Zhou, qui a ajouté que quelque 8 millions de dollars d'actifs étaient bloqués puisque le contrat de l'attaquant n'avait pas de fonction de transfert.
Rappeler le hack
Pour récupérer le crypto, BlockSec a utilisé une fonction de rappel dans le contrat de l'attaquant.
"L'attaque a été lancée via l'interface de rappel de prêt flash dans le contrat d'attaque. Cette fonction de rappel n'a pas de contrôle d'accès. Et pendant cette fonction de rappel, l'attaquant a codé en dur la logique pour approuver l'USDC dans le contrat du projet (qui est un proxy) », a noté Zhou.
«Ainsi, le projet peut d'abord invoquer la fonction de rappel dans le contrat de l'attaquant pour approuver l'USDC au contrat du projet. Ensuite, le contrat de projet peut retirer l'USDC du contrat de l'attaquant en mettant à niveau le proxy vers une nouvelle implémentation », a déclaré Zhou.
Correction : Mise à jour pour corriger le nom officiel de Platypus.
Source : https://www.theblock.co/post/212966/platypusdefi-salvages-2-4-million-in-hacked-funds-with-blocksecs-help?utm_source=rss&utm_medium=rss