在 Platypus 協議昨天遭到黑客攻擊後,在區塊鏈安全公司 BlockSec 的幫助下,至少有 2.4 萬美元的 USDC 被返還給了被利用的平台。
在 Platypus 被盜的近 9.1 萬美元資金中, 發現 根據 Blocksec 的可視化工具 MetalSleuth,攻擊者只能兌現 270,000 美元。
大約 8.5 萬美元的被盜資金被凍結在 合同 他們被轉移到,第二次嘗試利用的另外 380,000 美元是 偶然 發送回 Aave,鏈上數據顯示。
為 Platypus 取回部分被盜資金圍繞著 BlockSec 利用攻擊者合約漏洞的計劃展開。
BlockSec 聯合創始人 Yajin Zhou 告訴 The Block:“通過利用這個漏洞,該項目可以將攻擊者合約中的資金轉移到該項目的賬戶中。”
“該項目使用我們提供的概念證明收回了 2 萬美元。 這是為了收回攻擊者合約中的資金。
回調黑客
為了取回加密貨幣,BlockSec 在攻擊者的合約中使用了回調函數。
“此次攻擊是通過攻擊合約中閃貸回調接口發起的。 此回調函數沒有訪問控制。 在這個回調函數中,攻擊者將批准 USDC 的邏輯硬編碼到項目的合約(這是一個代理),”Zhou 指出。
“所以項目方可以先調用攻擊者合約中的回調函數,將USDC批准到項目方的合約中。 然後項目合約可以通過將代理升級到新的實現來從攻擊者合約中提取 USDC,”Zhou 說。
更正:更新以更正鴨嘴獸的正式名稱。
資料來源:https://www.theblock.co/post/212966/platypusdefi-salvages-2-4-million-in-hacked-funds-with-blocksecs-help?utm_source=rss&utm_medium=rss