Platypus lấy lại thành công 2,4 triệu USD bị hack nhờ sự giúp đỡ của BlockSec

Tin tặc khai thác Platypus chỉ kiếm được một phần nhỏ trong số tiền bị đánh cắp ban đầu.

213Total views
Listen to article
play!
Platypus lay lai thanh cong 2,4 trieu USD bi hack nho su giup do cua BlockSec - anh 1
Platypus lấy lại thành công 2,4 triệu USD bị hack nhờ sự giúp đỡ của BlockSec

Công ty bảo mật blockchain BlockSec đã có thể tận dụng lỗ hổng trong hợp đồng của kẻ tấn công và thu hồi 2,4 triệu đô la Mỹ vào địa chỉ của Platypus bằng cách triển khai nâng cấp proxy.

Sau khi giao thức Platypus bị hack vào ngày hôm qua, ít nhất 2,4 triệu USDC đã được trả lại cho nền tảng bị khai thác với sự trợ giúp từ công ty bảo mật blockchain BlockSec.

Trong số gần 9,1 triệu đô la Mỹ tiền bị đánh cắp từ Platypus, người ta tiết lộ rằng kẻ tấn công chỉ có thể rút ra 270.000 đô la Mỹ, theo MetalSleuth, một công cụ theo dõi từ Blocksec.

Khoảng 8,5 triệu đô la Mỹ tiền bị đánh cắp bị đóng băng trong hợp đồng mà chúng được chuyển đến và 380.000 đô la Mỹ khác từ nỗ lực khai thác lần thứ hai đã vô tình được gửi lại cho Aave, dữ liệu trên chuỗi cho thấy.

Việc lấy lại một phần số tiền bị đánh cắp cho Platypus xoay quanh kế hoạch của BlockSec nhằm lợi dụng kẽ hở trong hợp đồng của kẻ tấn công.

“Bằng cách tận dụng lỗ hổng này, dự án có thể chuyển tiền từ hợp đồng của kẻ tấn công sang tài khoản của dự án.” – Yajin Zhou, đồng sáng lập BlockSec nói với The Block.

“Dự án đã thu hồi được 2 triệu đô la Mỹ bằng cách sử dụng bằng chứng về khái niệm (Proof of Concept) do chúng tôi cung cấp. Điều này là để thu hồi tiền trong hợp đồng của kẻ tấn công.” – Zhou chia sẻ và cho biết thêm rằng khoảng 8 triệu đô la Mỹ tài sản đã bị mắc kẹt do hợp đồng của kẻ tấn công thiếu chức năng chuyển nhượng.

BlockSec lấy lại tiền bằng cách nào?

Để lấy lại tiền mã hoá, BlockSec đã sử dụng chức năng callback trong hợp đồng của kẻ tấn công.

“Cuộc tấn công được thực hiện thông qua giao diện gọi lại khoản vay nhanh trong hợp đồng tấn công. Chức năng callback này không có quyền kiểm soát truy cập. Và trong chức năng callback này, kẻ tấn công đã mã hóa cứng logic để phê duyệt USDC cho hợp đồng của dự án (là một proxy).” – Chu lưu ý.

“Vì vậy, trước tiên, dự án có thể gọi chức năng callback trong hợp đồng của kẻ tấn công để phê duyệt USDC cho hợp đồng của dự án. Sau đó, hợp đồng dự án có thể rút USDC khỏi hợp đồng của kẻ tấn công bằng cách nâng cấp proxy lên một triển khai mới.” – Zhou nói.

Coinvn tổng hợp

Tin tức tiền mã hóa 24/7
Thảo luận về tiền mã hóa tại đây
Xem thêm
articles