Платформа кредитования децентрализованного финансирования (DeFi) и эмитент стейблкоинов Seneca Protocol были взломаны, согласно заявлению от 28 февраля на официальном аккаунте X протокола. В отчете, опубликованном Cointelegraph, аналитическая фирма по блокчейну CertiK оценила убытки на данный момент в 6,4 миллиона долларов. Команда Seneca призвала пользователей отозвать одобрение затронутых контрактов. Его сотрудники «в настоящее время работают со специалистами по безопасности над расследованием ошибки», заявили они.
We are actively working with security specialists to investigate the approval bug found today.
In the meantime, REVOKE approvals for the following addresses:#Ethereum
PT-ezETH 0x529eBB6D157dFE5AE2AA7199a6f9E0e9830E6Dc1
apxETH 0xD837321Fc7fabA9af2f37EFFA08d4973A9BaCe34…— Seneca (@SenecaUSD) February 28, 2024
Seneca Protocol — это приложение для кредитования DeFi, которое позволяет пользователям вносить различные криптовалюты в качестве залога, которые затем можно использовать для чеканки и заимствования собственной стабильной монеты протокола, SenecaUSD.
Данные блокчейна показывают, что учетная запись, оканчивающаяся на 42DC, смогла перевести примерно 1 385,23 повторной ставки эфира Pendleton Kelp (PT Kelp rsETH) из пула обеспечения Seneca, что было сделано путем вызова функции «performOperations». Впоследствии аккаунт обменял эти токены на эфир (ETH) на сумму около 4 миллионов долларов в ходе трёх транзакций. После этих обменов аккаунт перенес дополнительные 717,04 деривативных токенов ETH из различных пулов обеспечения и обменял их на ETH.
В своем отчете CertiK заявила, что эти передачи были злонамеренными. Это стало возможным, потому что протокол содержит ошибку в функции «performOperations», говорится в отчете. Эта ошибка позволяет любой учетной записи вызывать функцию, указав OPERATION_CALL в качестве действия, которое необходимо выполнить. Это позволяет злоумышленнику «выполнять внешние вызовы на любой адрес, поскольку вызываемый объект и данные вызова полностью контролируются злоумышленником». В результате злоумышленник смог вывести средства из пула залогового обеспечения, которым он не владел, утверждает CertiK.
Исследователь блокчейна Spreek также предупредил пользователей об эксплойте X, заявив, что он представляет собой «критическую уязвимость». Спрек предложил пользователям отозвать одобрение адресов, использованных в эксплойте.
Связанный: Токен Serenity Shield упал почти на 99% после взлома кошелька MetaMask
По словам исследователя безопасности ddimitrov22, Seneca страдает от дополнительной уязвимости, которая не позволяет разработчикам приостанавливать контракты Seneca, поскольку функции паузы и возобновления паузы в них содержат ключевое слово «internal», что означает «нет возможности их вызвать».
The Seneca protocol is hacked and it cannot be paused even though it inherits the Pausable Library.
This is because the `_pause` and `_unpause` functions are internal and there is no way to call them. pic.twitter.com/en0qIsayMX
— ddimitrov22 (@ddimitrovv22) February 28, 2024
В своем сообщении, подтверждающем атаку, команда разработчиков заявила, что они проводят расследование и опубликуют обновление «в ближайшее время».
Хаки и эксплойты продолжают угрожать пользователям Web3 в 2024 году. 23 февраля соучредитель Axie Infinity Джефф «Джихоз» Зирлин потерял 9,7 миллиона долларов в результате взлома его личных кошельков. В тот же день протокол DeFi Blueberry был взломан за 457 ETH.