Nodeems de Platypus Protokoll gëschter gehackt gouf, goufen op d'mannst 2.4 Milliounen USDC op déi exploitéiert Plattform zréckginn mat Hëllef vun der Blockchain Sécherheetsfirma BlockSec.
Vun de bal $ 9.1 Millioune geklaut Fongen aus Platypus, et war weisen datt den Ugräifer nëmmen $ 270,000 ausbezuele konnt, laut MetalSleuth, e Visualiséierungsinstrument vu Blocksec.
E puer $ 8.5 Millioune vu geklauten Fongen sinn am gefruer Kontrakt si goufen transferéiert an, an aner $ 380,000 vun engem zweete Versuch auszenotzen waren zoufälleg geschéckt zréck op Aave, op-Kette daten weisen.
En Deel vun de geklauten Fongen fir Platypus zréckzéien huet sech ëm de Plang vum BlockSec gedréint fir vun engem Schleifen am Kontrakt vum Ugräifer ze profitéieren.
"Duerch d'Verwäertung vun dësem Schleifen, kann de Projet d'Fongen vum Ugräiferkontrakt op de Kont vum Projet transferéieren", huet de Yajin Zhou, Matgrënner vu BlockSec dem Block gesot.
"De Projet huet $ 2 Milliounen erholl andeems de Beweis vum Konzept vun eis geliwwert gouf. Dëst war fir d'Fongen am Kontrakt vum Ugräifer ze recuperéieren", laut Zhou, deen bäigefüügt huet datt ongeféier $ 8 Milliounen u Verméigen gestrand waren well den Ugräifer Kontrakt keng Transferfunktioun feelt.
Callback den Hack
Fir d'Krypto zréckzekommen, huet BlockSec eng Callback-Funktioun am Kontrakt vum Ugräifer benotzt.
"Den Attack gouf duerch de Flash Prêt Callback Interface am Attack Kontrakt gestart. Dës Callback Funktioun huet keng Zougangskontroll. A wärend dëser Callback Funktioun huet den Ugräifer d'Logik hardcodéiert fir USDC dem Kontrakt vum Projet z'accordéieren (wat e Proxy ass), "bemierkt Zhou.
"Also kann de Projet fir d'éischt d'Rufffunktioun am Ugräiferkontrakt opruffen fir USDC zum Kontrakt vum Projet z'accordéieren. Dann kann de Projet Kontrakt den USDC aus dem Ugräifer Kontrakt zréckzéien andeems de Proxy op eng nei Implementatioun Upgrade "sot Zhou.
Korrektur: Aktualiséiert fir de formellen Numm vum Platypus ze korrigéieren.
Quell: https://www.theblock.co/post/212966/platypusdefi-salvages-2-4-million-in-hacked-funds-with-blocksecs-help?utm_source=rss&utm_medium=rss