在 Platypus 协议昨天遭到黑客攻击后,在区块链安全公司 BlockSec 的帮助下,至少有 2.4 万美元的 USDC 被返还给了被利用的平台。
在 Platypus 被盗的近 9.1 万美元资金中, 发现 根据 Blocksec 的可视化工具 MetalSleuth,攻击者只能兑现 270,000 美元。
大约 8.5 万美元的被盗资金被冻结在 合同 他们被转移到,第二次尝试利用的另外 380,000 美元是 偶然 发送回 Aave,链上数据显示。
为 Platypus 取回部分被盗资金围绕着 BlockSec 利用攻击者合约漏洞的计划展开。
BlockSec 联合创始人 Yajin Zhou 告诉 The Block:“通过利用这个漏洞,该项目可以将攻击者合约中的资金转移到该项目的账户中。”
“该项目使用我们提供的概念证明收回了 2 万美元。 这是为了收回攻击者合约中的资金。
回调黑客
为了取回加密货币,BlockSec 在攻击者的合约中使用了回调函数。
“此次攻击是通过攻击合约中闪贷回调接口发起的。 此回调函数没有访问控制。 在这个回调函数中,攻击者将批准 USDC 的逻辑硬编码到项目的合约(这是一个代理),”Zhou 指出。
“所以项目方可以先调用攻击者合约中的回调函数,将USDC批准到项目方的合约中。 然后项目合约可以通过将代理升级到新的实现来从攻击者合约中提取 USDC,”Zhou 说。
更正:更新以更正鸭嘴兽的正式名称。
资料来源:https://www.theblock.co/post/212966/platypusdefi-salvages-2-4-million-in-hacked-funds-with-blocksecs-help?utm_source=rss&utm_medium=rss