Después de que el protocolo Platypus fuera pirateado ayer, se devolvieron al menos 2.4 millones de USDC a la plataforma explotada con la ayuda de la empresa de seguridad blockchain BlockSec.
De los casi $9.1 millones en fondos robados de Ornitorrinco, fue revelado que el atacante solo pudo cobrar $ 270,000, según MetalSleuth, una herramienta de visualización de Blocksec.
Unos $8.5 millones de fondos robados están congelados en el contrato fueron transferidos, y otros $ 380,000 de un segundo intento de explotación fueron accidentalmente enviado de vuelta a Aave, muestra de datos en cadena.
La recuperación de una parte de los fondos robados para Platypus giró en torno al plan de BlockSec para aprovechar una laguna en el contrato del atacante.
“Al aprovechar esta laguna, el proyecto puede transferir los fondos del contrato del atacante a la cuenta del proyecto”, dijo a The Block Yajin Zhou, cofundador de BlockSec.
“El proyecto recuperó $2 millones utilizando la prueba de concepto proporcionada por nosotros. Esto fue para recuperar los fondos en el contrato del atacante”, según Zhou, quien agregó que unos $ 8 millones en activos quedaron varados ya que el contrato del atacante carece de una función de transferencia.
Devolver la llamada al truco
Para recuperar la criptografía, BlockSec usó una función de devolución de llamada en el contrato del atacante.
“El ataque se lanzó a través de la interfaz de devolución de llamada de préstamo flash en el contrato de ataque. Esta función de devolución de llamada no tiene control de acceso. Y durante esta función de devolución de llamada, el atacante codificó la lógica para aprobar USDC en el contrato del proyecto (que es un proxy)”, señaló Zhou.
“Entonces, el proyecto puede invocar primero la función de devolución de llamada en el contrato del atacante para aprobar USDC para el contrato del proyecto. Luego, el contrato del proyecto puede retirar el USDC del contrato del atacante actualizando el proxy a una nueva implementación”, dijo Zhou.
Corrección: Actualizado para corregir el nombre formal de Ornitorrinco.
Fuente: https://www.theblock.co/post/212966/platypusdefi-salvages-2-4-million-in-hacked-funds-with-blocksecs-help?utm_source=rss&utm_medium=rss