Platypus BlockSec көмегімен 2.4 миллион долларды бұзған қаражатты құтқарады

Кеше Platypus протоколы бұзылғаннан кейін, BlockSec қауіпсіздік фирмасының көмегімен кемінде 2.4 миллион USDC пайдаланылған платформаға қайтарылды.

Платипустан ұрланған 9.1 миллион долларға жуық қаражаттың ішінде бұл болды анықталған Blocksec ұсынған MetalSleuth визуализация құралына сәйкес, шабуылдаушы бар болғаны 270,000 XNUMX долларды қолма-қол ақшаға айналдыра алады.

Ұрланған қаражаттың шамамен 8.5 миллион доллары қамауға алынды шарт олар аударылды және екінші эксплуатация әрекетінен тағы 380,000 XNUMX доллар болды кездейсоқ емес Aave-ге қайта жіберілді, желідегі деректер шоуы.

Platypus үшін ұрланған қаражаттың бір бөлігін алу BlockSec-тің шабуылдаушының келісіміндегі олқылықты пайдалану жоспары төңірегінде болды.

«Осы олқылықты пайдалана отырып, жоба шабуылдаушы келісім-шарттағы қаражатты жобаның шотына аудара алады», - деді BlockSec негізін қалаушы Яджин Чжоу The Block-ке.

«Жоба біз ұсынған тұжырымдаманы дәлелдеу арқылы 2 миллион долларды өндіріп алды. Бұл шабуылдаушының келісіміндегі қаражатты қайтару болды», - деді Чжоу, ол шабуылдаушының келісім-шартында аудару функциясы болмағандықтан, шамамен 8 миллион долларлық активтердің тоқтап қалғанын айтты.

Хакке кері қоңырау шалыңыз

Криптованиені қайтару үшін BlockSec шабуылдаушының келісімінде кері шақыру функциясын пайдаланды.

«Шабуыл шабуыл туралы келісімдегі жедел несиені кері шақыру интерфейсі арқылы іске қосылды. Бұл кері шақыру функциясында рұқсатты басқару мүмкіндігі жоқ. Осы кері шақыру функциясы кезінде шабуылдаушы жобаның келісім-шартына (прокси болып табылатын) USDC бекіту логикасын қатаң кодтаған», - деп атап өтті Чжоу.

«Сонымен, жоба жобаның келісім-шартына USDC бекіту үшін алдымен шабуылдаушы келісім-шартындағы кері шақыру функциясын қолдана алады. Содан кейін жоба келісімшарты проксиді жаңа іске асыруға жаңарту арқылы USDC-ті шабуылдаушы келісімшарттан алып тастай алады», - деді Чжоу.

Түзету: Платипустың ресми атауын түзету үшін жаңартылды.