Уязвимость в протоколе Seneca привела к краже 1900 ETH
Смарт-контракт омничейн-протокола Seneca на Ethereum взломан хакерами, что привело к потере более 1900 ETH (~$6,5 млн). Об этом сообщили аналитики Beosin.
🚨@SenecaUSD exploited for 1,900 $ETH (worth ~$6.5M).
The attacker used constructed calldata parameters to call transferfrom and transfer tokens that were approved to the project’s contracts to the attacker’s address.
The stolen funds are now held across 3 addresses.
Revoke… https://t.co/M1BwoU5jn4 pic.twitter.com/sKg56m9lVl
— Beosin Alert (@BeosinAlert) February 29, 2024
Ранее пользователь X под ником Spreek обнаружил в протоколе критическую уязвимость подтверждения с возможностью открытого внешнего вызова функции.
Looks like Seneca Protocol has a critical approval exploit (open external call). $3m+ lost so far across eth/arb pic.twitter.com/MkbNShtPUm
— Spreek (Denver 28th-5th) (@spreekaway) February 28, 2024
Предупреждение о проблеме выпускали также исследователи SlowMist.
🚨SlowMist Security Alert 🚨
Looks like @SenecaUSD is being exploited due to an open external call vulnerability, please revoke approvals for the following addresses ASAP!!!
ETH: 0xBC83F2711D0749D7454e4A9D53d8594DF0377c05
ARB: 0x2d99E1116E73110B88C468189aa6AF8Bb4675ec9 pic.twitter.com/GbmxLXTtdH— SlowMist (@SlowMist_Team) February 28, 2024
Beosin полагают, что злоумышленники использовали тщательно сконструированные параметры calldata для вызова функции Transferfrom. Это позволило им передавать авторизованные токены из контракта проекта на свои адреса, а затем конвертировать их в ETH.
Сейчас украденные средства хранятся на трех кошельках.
Команда протокола Seneca расследует инцидент. Пользователям необходимо отозвать одобрения для ряда адресов в сетях Ethereum и Arbitrum, которые опубликовали разработчики.
We are actively working with security specialists to investigate the approval bug found today.
In the meantime, REVOKE approvals for the following addresses:#Ethereum
PT-ezETH 0x529eBB6D157dFE5AE2AA7199a6f9E0e9830E6Dc1
apxETH 0xD837321Fc7fabA9af2f37EFFA08d4973A9BaCe34…— Seneca (@SenecaUSD) February 28, 2024
Проект также обратился к хакеру с просьбой о возврате средств. Ему предложили 20% от похищенной суммы в качестве вознаграждения и прекращение дальнейшего преследования.
Dear Whitehat,
Please return the funds to the following Ethereum wallet address: 0xb7aF0Aa318706D94469d8d851015F9Aa12D9c53a
We are collaborating with third-party security providers and law enforcement to trace the funds and identify recipient wallets. Acting promptly is… pic.twitter.com/syIQQXHJSQ
— Seneca (@SenecaUSD) February 29, 2024
На момент написания цена токена SEN упала на 52% и составляет $0,04254, по данным CoinGecko.
Напомним, 23 февраля из-за эксплойта приостановил работу DeFi-протокол Blueberry.