Včera byl hacknut protokol Platypus a s pomocí bezpečnostní firmy BlockSec bylo na zneužitou platformu vráceno nejméně 2,4 milionu USDC. MetalSleuth, vizualizační nástroj společnosti Blocksec, odhalil, že útočník dokázal vyplatit pouze 270 000 USD z téměř 9,1 milionu ukradených prostředků. Zbývajících 8,5 milionu dolarů ukradených prostředků je zmrazeno ve smlouvě, na kterou byly převedeny, a dalších 380 000 dolarů z druhého pokusu o zneužití bylo omylem odesláno zpět do Aave, ukazují data na řetězci.
Společnost BlockSec vypracovala plán, jak využít mezery v útočníkově smlouvě a získat kryptografické prostředky zpět. Yajin Zhou, spoluzakladatel společnosti BlockSec, vysvětlil, že se projektu podařilo získat zpět 2 miliony dolarů pomocí důkazu konceptu poskytnutého společností BlockSec. Toho bylo dosaženo převodem prostředků ze smlouvy útočníka na účet projektu. Smlouva projektu byla schopna stáhnout USDC z útočníkovy smlouvy upgradem proxy na novou implementaci. Útok byl zahájen prostřednictvím rozhraní zpětného volání bleskové půjčky v útočné smlouvě, které nemělo žádnou kontrolu přístupu. Během funkce zpětného volání útočník natvrdo zakódoval logiku pro schválení USDC do smlouvy projektu.
Díky plánu BlockSec se protokolu Platypus podařilo získat 2,4 milionu USDC. Zbývajících 8,5 milionu ukradených prostředků je zmrazeno ve smlouvě, do které byly převedeny, a dalších 380 000 USD z druhého pokusu o zneužití bylo omylem odesláno zpět do společnosti Aave.