Firma ochroniarska BlockSec pomaga Dziobakowi odzyskać skradzione pieniądze o wartości 2,4 mln dolarów

Kluczowe punkty:

• Firma zajmująca się bezpieczeństwem Blockchain, BlockSec, pomogła Platypusowi odzyskać 2,4 miliona dolarów dla Platypus, wykorzystując lukę w umowie atakującego.

• Atakujący mógł wypłacić jedynie 270 000 dolarów z prawie 9,1 miliona dolarów skradzionych.

Firma BlockSEC zajmująca się bezpieczeństwem kryptowalut pomaga Platypusowi odzyskać 2,4 miliona dolarów od atakujących, wdrażając ulepszony serwer proxy. Dzięki tej pomocy atakujący może zdobyć jedynie niewielką część pierwotnie skradzionych środków.

Dzięki pomocy firmy BlockSec zajmującej się bezpieczeństwem blockchain, protokół Platypus został wczoraj naruszony, w wyniku czego co najmniej 2,4 miliona USDC zostało zwróconych na zaatakowaną platformę.

Pomagamy @Platypusdefi odzyskać 2,4 mln USDC z kontraktu atakującego! BlockSec zawsze będzie gotowy zabezpieczyć cały ekosystem.

— BlockSec (@BlockSecTeam) 17 lutego 2023 r.

Według MetalSleuth, narzędzia wizualizacyjnego firmy Blocksec, z prawie 9,1 miliona dolarów skradzionych z Platypus, atakujący mógł wypłacić jedynie 270 000 dolarów.

8,5 miliona dolarów ze skradzionych pieniędzy zostało zamrożone w kontrakcie, na który zostały przelane, a kolejne 380 000 dolarów pochodzące z drugiej próby wykorzystania luk w zabezpieczeniach zostało nieumyślnie przekierowane z powrotem do Aave.

Strategia BlockSec mająca na celu wykorzystanie luki w kontrakcie atakującego opierała się na odzyskaniu części skradzionych pieniędzy dla Platypus.

„Wykorzystując tę ​​lukę, projekt może przelać środki z kontraktu atakującego na konto projektu”

Yajin Zhou, współzałożyciel BlockSec, powiedział The Block.

Wykorzystując opracowany przez nas dowód koncepcji, projekt był w stanie odzyskać 2 miliony dolarów. Według Zhou, zrobiono to w celu odzyskania pieniędzy z kontraktu atakującego. Powiedział również, że 8 milionów dolarów aktywów pozostało bez środków, ponieważ kontrakt atakującego nie zawiera funkcji transferu.

Aby odzyskać kryptowalutę, BlockSec użył funkcji wywołania zwrotnego w kontrakcie atakującego.

„Atak został przeprowadzony za pośrednictwem interfejsu wywołania zwrotnego pożyczki flash w kontrakcie ataku. Ta funkcja wywołania zwrotnego nie ma kontroli dostępu. A podczas tej funkcji wywołania zwrotnego atakujący zakodował na stałe logikę zatwierdzającą USDC w kontrakcie projektu (który jest proxy)”

powiedział Zhou.

Jak wspomniano we wcześniejszym artykule Coincu News, Platypus Stablecoin Exchange Project został zhakowany, a szacowana strata wyniosła 9 milionów dolarów. Projekt został zhakowany za pośrednictwem pożyczek flash na AVAX. Uważa się, że przyczyną jest luka w weryfikacji kontraktu MasterPlatypusV4 za pomocą funkcji EmergencyWithdraw.

ZASTRZEŻENIE: Informacje na tej stronie internetowej są udostępniane jako ogólny komentarz rynkowy i nie stanowią porady inwestycyjnej. Zachęcamy do przeprowadzenia badań przed zainwestowaniem.

Dołącz do nas, aby śledzić aktualności: https://linktr.ee/coincu

Lisi

Wiadomości Coincu