Протокол стейблкоина Seneca предложил вознаграждение в размере 20% эксплуататору, который получил доступ к цифровым активам на сумму не менее 6,4 миллиона долларов после использования ошибки механизма утверждения в смарт-контракте протокола.
28 февраля несколько фирм, занимающихся безопасностью блокчейн, отметили эксплойт в протоколе стабильной монеты. Такие компании, как CertiK, предупредили пользователей об эксплойте, призывая их отозвать одобрения с адреса в сетях Ethereum и Arbitrum. Первоначальная оценка потерь составила 3 миллиона долларов, но позже выяснилось, что в результате эксплойта было изъято более 1900 эфиров (ETH) на сумму около 6,4 миллиона долларов.
Аналитики безопасности CertiK объяснили, что эксплойт произошел из-за критической уязвимости «вызова» в смарт-контракте протокола. Эта уязвимость позволяла злоумышленнику совершать внешние вызовы на любой адрес.
Кроме того, в контрактах проекта не было кода, который мог бы позволить команде сделать «паузу» в нем. Из-за этого пользователям приходится отзывать разрешения.
Связанный: Токен Shido упал на 94%, поскольку эксплуататор истощил контракт на стейкинг Ethereum
Команда Seneca заявила, что в настоящее время они работают со специалистами над расследованием произошедшего. Команда также предложила награду в размере $1,2 млн за возврат украденных средств. В сообщении в сети от 29 февраля команда Seneca попросила хакера вернуть 80% украденных средств на адрес Ethereum, что позволило хакеру сохранить 20%.
В сообщении команда Seneca сообщила, что они сотрудничают с поставщиками услуг безопасности и правоохранительными органами для отслеживания средств. Команда призвала хакера вернуть средства, чтобы избежать юридических последствий. «Действовать оперативно крайне важно, поэтому мы просим вас вернуть средства как можно скорее, чтобы избежать дальнейших судебных исков», — написали они.
Через несколько часов после сообщения команды хакер был замечен возвращающим около 1537 ETH на сумму около 5,3 миллиона долларов на адрес кошелька, указанный командой Seneca. Эксплуататор сохранил 300 ETH на сумму около 1 миллиона долларов, что свидетельствует о том, что эксплуататор принял вознаграждение в размере 20%, предложенное командой. Затем злоумышленник перевел ETH на два разных адреса.