پس از هک شدن پروتکل پلاتیپوس دیروز، حداقل 2.4 میلیون USDC با کمک شرکت امنیتی بلاکچین BlockSec به پلتفرم مورد بهرهبرداری بازگردانده شد.
از تقریباً 9.1 میلیون دلار پول سرقت شده از پلاتیپوس، این بود نشان داد به گفته MetalSleuth، یک ابزار تجسمی از Blocksec، مهاجم فقط میتواند 270,000 دلار پول نقد کند.
حدود 8.5 میلیون دلار از وجوه دزدیده شده در این کشور مسدود شده است قرارداد آنها به آنها منتقل شدند و 380,000 دلار دیگر از یک سوء استفاده دوم دریافت کردند به طور تصادفی به Aave بازگردانده شد، داده های روی زنجیره نشان می دهد.
بازیابی بخشی از وجوه دزدیده شده برای پلاتیپوس حول برنامه BlockSec برای استفاده از شکاف موجود در قرارداد مهاجم بود.
یاجین ژو، یکی از بنیانگذاران BlockSec به The Block گفت: «با استفاده از این شکاف، پروژه میتواند وجوه قرارداد مهاجم را به حساب پروژه منتقل کند.
این پروژه با استفاده از اثبات مفهومی ارائه شده توسط ما، 2 میلیون دلار بازیابی کرد. این برای بازیابی وجوه موجود در قرارداد مهاجم بود.» به گفته ژو، او اضافه کرد که حدود 8 میلیون دلار دارایی سرگردان شده است زیرا قرارداد مهاجم فاقد عملکرد انتقال است.
هک برگشت به تماس
برای بازگرداندن رمزارز، BlockSec از یک تابع callback در قرارداد مهاجم استفاده کرد.
«این حمله از طریق رابط تماس برگشتی وام فلش در قرارداد حمله انجام شد. این عملکرد برگشت به تماس کنترل دسترسی ندارد. و در طول این تابع فراخوانی، مهاجم منطق را برای تایید USDC به قرارداد پروژه (که یک پروکسی است) کدگذاری کرد.
بنابراین پروژه می تواند ابتدا تابع callback در قرارداد مهاجم را برای تایید USDC به قرارداد پروژه فراخوانی کند. سپس قرارداد پروژه می تواند USDC را از قرارداد مهاجم با ارتقاء پروکسی به یک پیاده سازی جدید خارج کند.
تصحیح: برای تصحیح نام رسمی Platypus به روز شد.
منبع: https://www.theblock.co/post/212966/platypusdefi-salvages-2-4-million-in-hacked-funds-with-blocksecs-help?utm_source=rss&utm_medium=rss