Points clés :

  • La société de sécurité Blockchain BlockSec a aidé Platypus à récupérer 2,4 millions de dollars pour Platypus en profitant d'une vulnérabilité dans le contrat d'un attaquant.

  • L'agresseur n'a pu récupérer que 270 000 dollars sur les près de 9,1 millions de dollars volés.

La société de sécurité des cryptomonnaies BlockSEC a aidé Platypus à récupérer 2,4 millions de dollars des mains des attaquants en mettant en place un proxy amélioré. Grâce à cette aide, l'attaquant ne peut récupérer qu'une petite partie des fonds volés à l'origine.

Avec l'aide de la société de sécurité blockchain BlockSec, le protocole Platypus a été piraté hier, entraînant le retour d'au moins 2,4 millions de USDC à la plateforme compromise.

    

Nous aidons @Platypusdefi à récupérer avec succès 2,4 millions de dollars américains du contrat de l'attaquant ! BlockSec sera toujours là pour sécuriser l'ensemble de l'écosystème.

— BlockSec (@BlockSecTeam)    17 février 2023   

Selon MetalSleuth, un outil de visualisation de Blocksec, sur les près de 9,1 millions de dollars d'argent volé à Platypus, il a été découvert que l'attaquant ne pouvait payer que 270 000 dollars.

8,5 millions de dollars de l'argent volé ont été gelés dans le contrat où il a été transféré, et 380 000 dollars supplémentaires provenant d'une deuxième tentative d'exploitation ont été involontairement renvoyés vers Aave.

La stratégie de BlockSec pour exploiter la faille du contrat de l’attaquant consistait à récupérer une partie de l’argent volé pour Platypus.

   

« En exploitant cette faille, le projet peut transférer les fonds du contrat de l’attaquant vers le compte du projet »,

Yajin Zhou, co-fondateur de BlockSec, a déclaré à The Block.

Grâce à la preuve de concept que nous avons produite, le projet a pu récupérer 2 millions de dollars. Selon Zhou, cela a été fait pour récupérer l’argent du contrat de l’attaquant. Il a également déclaré que 8 millions de dollars d’actifs ont été laissés en attente parce que le contrat de l’attaquant ne prévoit pas de fonction de transfert.

Pour récupérer la crypto, BlockSec a utilisé une fonction de rappel dans le contrat de l’attaquant.

   

« L'attaque a été lancée via l'interface de rappel du prêt flash dans le contrat d'attaque. Cette fonction de rappel n'a aucun contrôle d'accès. Et pendant cette fonction de rappel, l'attaquant a codé en dur la logique pour approuver l'USDC dans le contrat du projet (qui est un proxy) »,

Zhou a dit.

Comme mentionné dans un article précédent de Coincu News, le projet d'échange de pièces stables Platypus a été piraté avec une perte estimée à 9 millions de dollars. Le projet a été piraté via des prêts flash sur AVAX. On pense que la cause provient d'une vulnérabilité dans la vérification du contrat MasterPlatypusV4 à l'aide de la fonction EmergencyWithdraw.

AVERTISSEMENT : les informations sur ce site Web sont fournies à titre de commentaire général sur le marché et ne constituent pas des conseils en investissement. Nous vous encourageons à faire vos recherches avant d'investir.

Rejoignez-nous pour suivre l'actualité : https://linktr.ee/coincu

Rusé

Actualités Coincu