TIN NHANH
- Hacker khai thác Platypus chỉ kiếm được một phần nhỏ trong số tiền bị đánh cắp ban đầu.
- Công ty chứng khoán BlockSec blockchain đã có thể tận dụng lỗ hổng trong hợp đồng của kẻ tấn công và thu hồi 2,4 triệu USD vào địa chỉ của Platypus bằng cách triển khai proxy nâng cấp.
Sau khi giao thức Platypus bị hack vào ngày hôm qua, ít nhất 2,4 triệu USDC đã được trả lại cho nền tảng với sự trợ giúp từ công ty chứng khoán blockchain BlockSec.
Trong số gần 9,1 triệu USD tiền bị đánh cắp từ Platypus, người ta tiết lộ rằng kẻ tấn công chỉ có thể rút ra 270.000 USD, theo MetalSleuth, một công cụ trực quan từ Blocksec.
Khoảng 8,5 triệu USD tiền bị đánh cắp bị đóng băng trong hợp đồng mà chúng được chuyển đến và 380.000 USD khác từ nỗ lực khai thác lần thứ 2 đã vô tình được gửi lại cho Aave, dữ liệu trên chuỗi cho thấy.
Việc lấy lại một phần số tiền bị đánh cắp cho Platypus xoay quanh kế hoạch của BlockSec nhằm lợi dụng kẽ hở trong hợp đồng của kẻ tấn công.
“Bằng cách tận dụng lỗ hổng này, dự án có thể chuyển tiền từ hợp đồng của kẻ tấn công sang tài khoản của dự án,” Yajin Zhou, đồng sáng lập BlockSec đã nói.
“Dự án đã thu hồi được 2 triệu USD bằng cách sử dụng “proof of concept” do chúng tôi cung cấp. Điều này giúp thu hồi tiền trong hợp đồng của kẻ tấn công,” theo Zhou, người nói thêm rằng khoảng 8 triệu USD tài sản đã bị mắc kẹt do hợp đồng của kẻ tấn công thiếu chức năng chuyển nhượng.
Callback Function
Để lấy lại tiền điện tử, BlockSec đã sử dụng chức năng “callback” trong hợp đồng của kẻ tấn công.
“Cuộc tấn công được thực hiện thông qua giao diện callback khoản vay nhanh trong hợp đồng tấn công. Chức năng callback này không có quyền kiểm soát truy cập. Và trong đó, kẻ tấn công đã mã hóa cứng logic để phê duyệt USDC cho hợp đồng của dự án (là một proxy),” Zhou nói.
“Vì vậy trước tiên, dự án có thể gọi chức năng callback trong hợp đồng của kẻ tấn công để phê duyệt USDC cho hợp đồng của dự án. Sau đó, hợp đồng dự án có thể rút USDC khỏi hợp đồng của kẻ tấn công bằng cách nâng cấp proxy lên một phiên bản mới,” Zhou nói.
Liên quan: UN gửi USDC cho người Ukraine di cư qua mạng Stellar($XLM)
Coin6s tổng hợp
