キーポイント:
ブロックチェーンセキュリティ企業BlockSecは、攻撃者の契約の脆弱性を利用してPlatypusに240万ドルの回収を支援した。
攻撃者は盗んだ約910万ドルのうち27万ドルしか現金化できなかった。
暗号通貨セキュリティ企業 BlockSEC は、アップグレードされたプロキシを実装することで、Platypus が攻撃者から 240 万ドルを取り戻すのを支援しました。この支援により、攻撃者は盗まれた元の資金のごく一部しか取り戻すことができません。
ブロックチェーンセキュリティ企業BlockSecの支援により、昨日Platypusプロトコルが侵害され、少なくとも240万USDCが侵害されたプラットフォームに返還されました。
私たちは @Platypusdefi が攻撃者契約から 2.4M USDC を回収するのを成功させました!BlockSec は常にエコシステム全体を保護するためにここにいます。
— BlockSec (@BlockSecTeam) 2023年2月17日
MetalSleuth の情報によると、Blocksec の視覚化ツールを使用して、Platypus から盗まれた約 910 万ドルの資金のうち、攻撃者が支払えるのは 27 万ドルだけであることが判明しました。
盗まれた資金の 850 万ドルは、移転された契約内で凍結されており、別の攻撃の試みから 38 万ドルが意図せず Aave に戻されています。
BlockSec の攻撃者契約の欠陥を利用する戦略は、Platypus のために盗まれた資金の一部を取り戻すことに焦点を当てていました。
「この抜け穴を利用することで、プロジェクトは攻撃者契約からプロジェクトのアカウントに資金を移転できます。」
BlockSec の共同創設者 Yajin Zhou が The Block に語った。
私たちが作成した概念実証を使用して、プロジェクトは 200 万ドルを回収することができました。Zhou によると、これは攻撃者契約からお金を取り戻すために行われました。また、攻撃者契約には転送機能がないため、800 万ドルの資産が取り残されているとも述べました。
暗号を取り戻すために、BlockSec は攻撃者の契約内のコールバック関数を使用しました。
「攻撃は攻撃契約内のフラッシュローンコールバックインターフェースを通じて開始されました。このコールバック関数にはアクセス制御がありません。そしてこのコールバック関数の間に、攻撃者はプロジェクトの契約(プロキシ)に USDC を承認するロジックをハードコーディングしました。」
Zhou が述べました。
以前の Coincu ニュースの記事で述べたように、Platypus ステーブルコイン取引所プロジェクトは、推定 900 万ドルの損失を被ってハッキングされました。このプロジェクトは AVAX 上のフラッシュローンを通じてハッキングされました。原因は、EmergencyWithdraw 機能を使用して MasterPlatypusV4 契約を検証する際の脆弱性に起因していると考えられています。
免責事項:このウェブサイトの情報は一般的な市場のコメントとして提供されており、投資アドバイスを構成するものではありません。投資を行う前にご自身で調査を行うことをお勧めします。
ニュースを追跡するために参加してください: https://linktr.ee/coincu
フォクシー
Coincu ニュース