Протокол Stablecoin Seneca запропонувала винагороду в розмірі 20% експлойтеру, який отримав доступ до щонайменше 6,4 мільйона доларів цифрових активів після використання помилки механізму затвердження в смарт-контракті протоколу.
28 лютого кілька фірм із безпеки блокчейнів помітили експлойт у протоколі стейблкойн. Такі компанії, як CertiK, попередили користувачів про експлойт, закликавши їх відкликати схвалення з адреси в мережах Ethereum і Arbitrum. Початкові оцінки збитків становили 3 мільйони доларів, але пізніше виявилося, що в результаті експлойту було вилучено понад 1900 ефірів (ETH) на суму близько 6,4 мільйона доларів.
Аналітики безпеки CertiK пояснили, що експлойт стався через критичну вразливість «виклику» в смарт-контракті протоколу. Ця уразливість дозволяла зловмиснику здійснювати зовнішні дзвінки на будь-яку адресу.
Крім того, у контрактах проекту не було коду, який би дозволяв команді робити «паузу» на ньому. Через це користувачам доводиться скасовувати дозволи.
За темою: токен Shido різко впав на 94%, оскільки експлуататор вичерпує контракт на ставку Ethereum
Команда Seneca повідомила, що зараз вони працюють з фахівцями, щоб розслідувати те, що сталося. Команда також запропонувала винагороду в розмірі 1,2 мільйона доларів за повернення вкрадених коштів. У повідомленні в мережі 29 лютого команда Seneca попросила хакера повернути 80% викрадених коштів на адресу Ethereum, дозволивши хакеру залишити 20%.
У повідомленні команда Seneca повідомила, що вони співпрацюють із службами безпеки та правоохоронними органами, щоб відстежити кошти. Команда закликала хакера повернути кошти, щоб уникнути правових наслідків. «Вкрай важливо діяти швидко, тому ми люб’язно просимо повернути кошти якнайшвидше, щоб уникнути подальших судових позовів», — написали вони.
Через кілька годин після повідомлення команди було помічено, як хакер повернув близько 1537 ETH на суму близько 5,3 мільйона доларів на адресу гаманця, яку вказала команда Seneca. Експлуататор зберіг 300 ETH на суму близько 1 мільйона доларів США, що свідчить про те, що він прийняв 20% премії, запропонованої командою. Потім експлуататор перевів ETH на дві різні адреси.
