प्लैटिपस प्रोटोकॉल को कल हैक करने के बाद, ब्लॉकचैन सिक्योरिटी फर्म ब्लॉकसेक की मदद से कम से कम 2.4 मिलियन यूएसडीसी शोषित प्लेटफॉर्म पर वापस आ गए।
प्लैटिपस से चुराए गए लगभग $9.1 मिलियन धन में से, यह था प्रकट ब्लॉकसेक के विज़ुअलाइज़ेशन टूल, मेटलस्लेथ के अनुसार, हमलावर केवल $ 270,000 को कैश कर सकता है।
चोरी किए गए कुछ $8.5 मिलियन के धन में जमे हुए हैं अनुबंध उन्हें स्थानांतरित कर दिया गया था, और दूसरे प्रयास के शोषण से $ 380,000 थे अकस्मात Aave, ऑन-चेन डेटा शो में वापस भेजा गया।
प्लैटिपस के लिए चुराए गए धन के एक हिस्से को पुनः प्राप्त करना हमलावर के अनुबंध में खामियों का फायदा उठाने के लिए ब्लॉकसेक की योजना के इर्द-गिर्द घूमता है।
ब्लॉकसेक के सह-संस्थापक याजिन झोउ ने द ब्लॉक को बताया, "इस खामियों का लाभ उठाकर, परियोजना हमलावर अनुबंध से परियोजना के खाते में धन हस्तांतरित कर सकती है।"
"परियोजना ने हमारे द्वारा प्रदान की गई अवधारणा के प्रमाण का उपयोग करके $ 2 मिलियन की वसूली की। यह हमलावर के अनुबंध में धन की वसूली के लिए था," झोउ के अनुसार, जिन्होंने कहा कि कुछ $ 8 मिलियन की संपत्ति फंसी हुई थी क्योंकि हमलावर अनुबंध में हस्तांतरण समारोह का अभाव था।
कॉलबैक हैक
क्रिप्टो को वापस पाने के लिए, BlockSec ने हमलावर के अनुबंध में कॉलबैक फ़ंक्शन का उपयोग किया।
"हमले के अनुबंध में फ्लैश लोन कॉलबैक इंटरफ़ेस के माध्यम से हमला शुरू किया गया था। इस कॉलबैक फ़ंक्शन का कोई अभिगम नियंत्रण नहीं है। और इस कॉलबैक फ़ंक्शन के दौरान, हमलावर ने यूएसडीसी को परियोजना के अनुबंध (जो एक प्रॉक्सी है) को मंजूरी देने के लिए तर्क को हार्डकोड किया," झोउ ने कहा।
"तो परियोजना परियोजना के अनुबंध के लिए यूएसडीसी को मंजूरी देने के लिए पहले हमलावर अनुबंध में कॉलबैक फ़ंक्शन को लागू कर सकती है। तब परियोजना अनुबंध प्रॉक्सी को एक नए कार्यान्वयन में अपग्रेड करके हमलावर अनुबंध से USDC को वापस ले सकता है," झोउ ने कहा।
सुधार: प्लैटिपस के औपचारिक नाम को सही करने के लिए अद्यतन किया गया।
स्रोत: https://www.theblock.co/post/212966/platypusdefi-salvages-2-4-million-in-hacked-funds-with-blocksecs-help?utm_source=rss&utm_medium=rss