Երեկ Platypus արձանագրությունը կոտրելուց հետո առնվազն 2.4 միլիոն USDC վերադարձվել է շահագործվող հարթակ բլոկչեյն անվտանգության BlockSec ընկերության օգնությամբ:
Platypus-ից գողացված գրեթե 9.1 միլիոն դոլար գումարից դա եղել է ցույց որ հարձակվողը կարող է կանխիկացնել միայն $270,000, ըստ MetalSleuth-ի՝ Blocksec-ի վիզուալիզացիայի գործիքի:
Մոտ 8.5 միլիոն դոլար գողացված միջոցները սառեցված են պայմանագիր դրանք փոխանցվել են և ևս 380,000 դոլար՝ երկրորդ շահագործման փորձից պատահաբար ետ ուղարկվել Aave, on-chain data show.
Platypus-ի համար գողացված միջոցների մի մասի առբերումը պտտվում էր BlockSec-ի ծրագրի շուրջ՝ օգտվել հարձակվողի պայմանագրում առկա սողանցքից:
«Օգտագործելով այս բացը, նախագիծը կարող է հարձակվողի պայմանագրից գումարները փոխանցել նախագծի հաշվին», - The Block-ին ասել է BlockSec-ի համահիմնադիր Յաջին Չժուն:
«Ծրագիրը մեր կողմից տրամադրված հայեցակարգի ապացույցով վերականգնեց 2 միլիոն դոլար: Սա հարձակվողի պայմանագրում եղած միջոցները վերադարձնելու համար էր»,- ըստ Չժոուի, ով ավելացրել է, որ մոտ 8 միլիոն դոլարի ակտիվները մնացել են արգելափակման մեջ, քանի որ հարձակվողի պայմանագիրը չունի տրանսֆերային գործառույթ:
Հետ կանչել թալանել
Կրիպտոն վերադարձնելու համար BlockSec-ը հարձակվողի պայմանագրում օգտագործել է հետ կանչելու ֆունկցիա:
«Հարձակումն իրականացվել է հարձակման պայմանագրում առկա ֆլեշ վարկի հետ կանչման ինտերֆեյսի միջոցով: Հետ կանչելու այս ֆունկցիան չունի մուտքի կառավարում: Եվ հետադարձ կապի այս ֆունկցիայի ժամանակ հարձակվողը կոշտ կոդավորեց տրամաբանությունը՝ հաստատելու USDC-ն նախագծի պայմանագրին (որը վստահված անձ է)»,- նշել է Չժուն:
«Այսպիսով, նախագիծը կարող է նախ կանչել հետադարձ կապի գործառույթը հարձակվողի պայմանագրում, որպեսզի հաստատի USDC-ն նախագծի պայմանագրին: Այնուհետև նախագծի պայմանագիրը կարող է դուրս բերել USDC-ն հարձակվողի պայմանագրից՝ արդիականացնելով վստահված անձը նոր իրականացման», - ասաց Չժուն:
Ուղղում. Թարմացվել է Platypus-ի պաշտոնական անունը շտկելու համար:
Աղբյուր՝ https://www.theblock.co/post/212966/platypusdefi-salvages-2-4-million-in-hacked-funds-with-blocksecs-help?utm_source=rss&utm_medium=rss