پلاتیپوس ۲.۴ میلیون دلار از وجوه هک شده را بازیابی کرد

پس از هک شدن پروتکل دیفای پلاتیپوس (Platypus) در روز گذشته، حداقل ۲.۴ میلیون USDC با کمک بلاک‌سک (BlockSec)، شرکت امنیتی بلاکچین، به این پلتفرم بازگردانده شد.

طبق گفته بلاک‌سک، از ۹.۱ میلیون دلار وجوه دزدیده شده از پلاتیپوس، مهاجم فقط می تواند ۲۷۰،۰۰۰ دلار را نقد کند. براساس داده‌های زنجیره‌ای، حدود ۸.۵ میلیون دلار از وجوه دزدیده شده در قراردادی که به آن منتقل شده بود، مسدود شده است و ۳۸۰۰۰۰ دلار دیگر طور تصادفی به آوه بازگردانده شده است.

بازیابی بخشی از وجوه دزدیده شده از پلاتیپوس حول برنامه بلاک‌سک برای استفاده از شکاف موجود در قرارداد مهاجم بود. یاجین ژو، یکی از بنیانگذاران بلاک‌سک به وبسایت دی‌بلاک گفت:

«با استفاده از این شکاف، پروژه می‌تواند وجوه قرارداد مهاجم را به حساب خود منتقل کند.»

برای بازگرداندن رمزارزها، بلاک‌سک از یک تابع تماس برگشتی (CallBack function) در قرارداد مهاجم استفاده کرد. ژو اشاره کرد:

“این حمله از طریق واسط تماس برگشتی وام فوری در قرارداد حمله راه اندازی شد. این تابع فراخوانی هیچ کنترل دسترسی ندارد و در طول این تابع فراخوانی، مهاجم منطق را برای تایید USDC به قرارداد پروژه (که یک پروکسی است) رمزگذاری کرده بود.”

بنابراین پروژه می تواند ابتدا تابع callback در قرارداد مهاجم را برای تایید USDC به قرارداد پروژه فراخوانی کند. سپس قرارداد پروژه می تواند USDC را از قرارداد مهاجم با ارتقاء پروکسی به یک پیاده سازی جدید خارج کند.