Platypus 在 BlockSec 的帮助下挽救了 240 万美元的被黑资金

在 Platypus 协议昨天遭到黑客攻击后，在区块链安全公司 BlockSec 的帮助下，至少有 240 万美元的 USDC 被返还给了被利用的平台。

据 Blocksec 的可视化工具 MetalSleuth 称，在 Platypus 被盗的近 910 万美元资金中，据透露，攻击者只能兑现 270,000 美元。

链上数据显示，约 850 万美元的被盗资金被冻结在它们被转移到的合约中，第二次尝试利用的另外 380,000 美元被意外送回 Aave。

为 Platypus 取回部分被盗资金围绕着 BlockSec 计划利用攻击者合约中的漏洞展开。

BlockSec 联合创始人 Yajin Zhou 告诉 The Block：“通过利用这个漏洞，该项目可以将攻击者合约中的资金转移到该项目的账户中。”

“该项目使用我们提供的概念证明收回了 200 万美元。这是为了收回攻击者合约中的资金，”周说，他补充说，由于攻击者合约缺乏转移功能，约 800 万美元的资产被搁浅。

为了取回加密货币，BlockSec 在攻击者的合约中使用了回调函数。

“攻击是通过攻击合约中的闪电贷回调接口发起的。这个回调函数没有访问控制。并且在这个回调函数中，攻击者将批准 USDC 的逻辑硬编码到项目的合约（这是一个代理），”周指出。

“所以项目方可以先调用攻击者合约中的回调函数，将USDC批准到项目方的合约中。然后项目合约可以通过将代理升级到新的实现来从攻击者合约中提取 USDC，”Zhou 说。