მას შემდეგ, რაც გუშინ Platypus-ის პროტოკოლი გატეხეს, მინიმუმ 2.4 მილიონი USDC დაბრუნდა ექსპლუატაციურ პლატფორმაზე ბლოკჩეინის უსაფრთხოების ფირმის BlockSec-ის დახმარებით.
Platypus-ის მოპარული თანხებიდან თითქმის $9.1 მილიონი იყო გამოვლინდა Blocksec-ის ვიზუალიზაციის ხელსაწყოს MetalSleuth-ის თანახმად, თავდამსხმელს შეეძლო მხოლოდ $270,000-ის განაღდება.
დაახლოებით 8.5 მილიონი დოლარის მოპარული თანხები გაყინულია ხელშეკრულების ისინი გადაეცათ და კიდევ $380,000 მეორე ექსპლუატაციის მცდელობიდან იყო შემთხვევით გაგზავნილია Aave-ში, ჯაჭვის მონაცემების ჩვენება.
Platypus-ისთვის მოპარული თანხების ნაწილის მოპოვება ტრიალებდა BlockSec-ის გეგმის ირგვლივ, ისარგებლოს თავდამსხმელის კონტრაქტში არსებული ხარვეზით.
„ამ ხარვეზის გამოყენებით, პროექტს შეუძლია თავდამსხმელის კონტრაქტიდან თანხები გადაიტანოს პროექტის ანგარიშზე“, განუცხადა The Block-ს BlockSec-ის თანადამფუძნებელმა Yajin Zhou-მ.
„პროექტმა ჩვენს მიერ მოწოდებული კონცეფციის მტკიცებულების გამოყენებით 2 მილიონი დოლარი ამოიღო. ეს იყო თავდამსხმელის კონტრაქტში არსებული თანხების აღსადგენად“, - ამბობს ჟოუ, რომელმაც დასძინა, რომ დაახლოებით 8 მილიონი დოლარის აქტივები ჩერდება, რადგან თავდამსხმელის კონტრაქტს არ გააჩნია სატრანსფერო ფუნქცია.
გამოძახება ჰაკ
კრიპტო-ს დასაბრუნებლად, BlockSec-მა გამოიყენა გამოძახების ფუნქცია თავდამსხმელის კონტრაქტში.
„შეტევა დაიწყო თავდასხმის კონტრაქტში ფლეშ სესხის გამოძახების ინტერფეისის მეშვეობით. ამ გამოძახების ფუნქციას არ აქვს წვდომის კონტროლი. და ამ გამოძახების ფუნქციის დროს, თავდამსხმელმა დაამტკიცა ლოგიკა, რომ დაამტკიცოს USDC პროექტის კონტრაქტში (რომელიც არის პროქსი),” - აღნიშნა ჟოუმ.
”ასე რომ, პროექტს შეუძლია პირველ რიგში გამოიყენოს გამოძახების ფუნქცია თავდამსხმელის კონტრაქტში, რათა დაამტკიცოს USDC პროექტის კონტრაქტში. შემდეგ პროექტის კონტრაქტს შეუძლია USDC-ის ამოღება თავდამსხმელის კონტრაქტიდან პროქსის ახალ განხორციელებაზე განახლებით,” - თქვა ჟოუმ.
შესწორება: განახლებულია Platypus-ის ოფიციალური სახელის გამოსასწორებლად.
წყარო: https://www.theblock.co/post/212966/platypusdefi-salvages-2-4-million-in-hacked-funds-with-blocksecs-help?utm_source=rss&utm_medium=rss