หลังจากโปรโตคอล Platypus ถูกแฮ็กเมื่อวานนี้ เงินอย่างน้อย 2.4 ล้าน USDC ถูกส่งคืนไปยังแพลตฟอร์มที่ถูกโจมตีด้วยความช่วยเหลือจาก BlockSec บริษัทรักษาความปลอดภัยบล็อกเชน
จากเงินเกือบ 9.1 ล้านดอลลาร์ที่ถูกขโมยไปจาก Platypus มันคือ เปิดเผย ผู้โจมตีสามารถถอนเงินออกไปได้เพียง 270,000 ดอลลาร์เท่านั้น ตามข้อมูลของ MetalSleuth ซึ่งเป็นเครื่องมือสร้างภาพข้อมูลจาก Blocksec
เงินจำนวน 8.5 ล้านดอลลาร์ที่ถูกขโมยไปถูกอายัดไว้ใน สัญญา พวกเขาถูกโอนไปและอีก 380,000 ดอลลาร์จากการพยายามแสวงประโยชน์ครั้งที่สอง โดยไม่ตั้งใจ ส่งกลับไปที่ Aave ซึ่งเป็นการแสดงข้อมูลแบบออนไลน์
การเรียกเงินส่วนหนึ่งของ Platypus ที่ถูกขโมยไปคืนมาจากแผนการของ BlockSec เพื่อใช้ประโยชน์จากช่องโหว่ในสัญญาของผู้โจมตี
“โดยการใช้ประโยชน์จากช่องโหว่นี้ โครงการสามารถโอนเงินจากสัญญาของผู้โจมตีไปยังบัญชีของโครงการได้” Yajin Zhou ผู้ร่วมก่อตั้งของ BlockSec กล่าวกับ The Block
“โครงการได้เงิน 2 ล้านดอลลาร์จากการพิสูจน์แนวคิดที่เราให้ไว้ นี่เป็นการกู้เงินในสัญญาของผู้โจมตี” ตามคำกล่าวของ Zhou ซึ่งเสริมว่าทรัพย์สินมูลค่า 8 ล้านดอลลาร์ติดอยู่เนื่องจากสัญญาของผู้โจมตีไม่มีฟังก์ชั่นการถ่ายโอน
โทรกลับแฮ็ค
ในการรับ crypto กลับคืน BlockSec ใช้ฟังก์ชันการโทรกลับในสัญญาของผู้โจมตี
“การโจมตีเปิดตัวผ่านอินเทอร์เฟซการโทรกลับของสินเชื่อแฟลชในสัญญาการโจมตี ฟังก์ชันการโทรกลับนี้ไม่มีการควบคุมการเข้าถึง และในระหว่างฟังก์ชันการโทรกลับนี้ ผู้โจมตีฮาร์ดโค้ดตรรกะเพื่ออนุมัติ USDC ตามสัญญาของโครงการ (ซึ่งเป็นพร็อกซี)” Zhou กล่าว
“ดังนั้น โครงการสามารถเรียกใช้ฟังก์ชันการโทรกลับในสัญญาของผู้โจมตีก่อน เพื่ออนุมัติ USDC กับสัญญาของโครงการ จากนั้นสัญญาโครงการสามารถถอน USDC ออกจากสัญญาของผู้โจมตีได้โดยการอัปเกรดพร็อกซีเป็นการใช้งานใหม่” โจวกล่าว
การแก้ไข: อัปเดตเพื่อแก้ไขชื่อที่เป็นทางการของ Platypus
ที่มา: https://www.theblock.co/post/212966/platypusdefi-salvages-2-4-million-in-hacked-funds-with-blocksecs-help?utm_source=rss&utm_medium=rss