Platypus 프로토콜이 어제 해킹된 후 블록체인 보안 회사인 BlockSec의 도움으로 최소 2.4만 USDC가 악용된 플랫폼으로 반환되었습니다.
Platypus에서 도난당한 약 9.1만 달러의 자금 중 공개 Blocksec의 시각화 도구인 MetalSleuth에 따르면 공격자는 $270,000만 현금으로 바꿀 수 있었습니다.
약 8.5만 달러의 도난 자금이 계약 그리고 두 번째 악용 시도에서 $380,000가 추가로 발생했습니다. 우윤히 온체인 데이터 쇼인 Aave로 다시 전송되었습니다.
Platypus를 위해 도난당한 자금의 일부를 회수하는 것은 공격자의 계약에 있는 허점을 이용하려는 BlockSec의 계획을 중심으로 이루어졌습니다.
BlockSec의 공동 설립자인 Yajin Zhou는 The Block에 "이 허점을 활용하여 프로젝트는 공격자 계약에서 프로젝트 계정으로 자금을 전송할 수 있습니다."라고 말했습니다.
“이 프로젝트는 우리가 제공한 개념 증명을 사용하여 2만 달러를 회수했습니다. 이것은 공격자의 계약에 있는 자금을 회수하기 위한 것입니다.
해킹 콜백
암호화폐를 되찾기 위해 BlockSec은 공격자의 계약에서 콜백 기능을 사용했습니다.
“공격 계약의 플래시 론 콜백 인터페이스를 통해 공격이 시작되었습니다. 이 콜백 함수에는 액세스 제어가 없습니다. 그리고 이 콜백 기능 중에 공격자는 USDC를 프로젝트 계약(프록시)에 승인하는 논리를 하드코딩했습니다.”라고 Zhou는 지적했습니다.
“따라서 프로젝트는 USDC를 프로젝트 계약에 승인하기 위해 먼저 공격자 계약에서 콜백 기능을 호출할 수 있습니다. 그런 다음 프로젝트 계약은 프록시를 새로운 구현으로 업그레이드하여 공격자 계약에서 USDC를 인출할 수 있습니다.”라고 Zhou는 말했습니다.
수정: 오리너구리의 공식 이름을 수정하도록 업데이트되었습니다.
출처: https://www.theblock.co/post/212966/platypusdefi-salvages-2-4-million-in-hacked-funds-with-blocksecs-help?utm_source=rss&utm_medium=rss