forklog.com
Смарт-контракт омничейн-протокола Seneca на Ethereum взломан хакерами, что привело к потере более 1900 ETH (~$6,5 млн). Об этом сообщили аналитики Beosin.
🚨@SenecaUSD exploited for 1,900 $ETH (worth ~$6.5M).
— Beosin Alert (@BeosinAlert) February 29, 2024
The attacker used constructed calldata parameters to call transferfrom and transfer tokens that were approved to the project's contracts to the attacker's address.
The stolen funds are now held across 3 addresses.
Revoke… https://t.co/M1BwoU5jn4 pic.twitter.com/sKg56m9lVl
Ранее пользователь X под ником Spreek обнаружил в протоколе критическую уязвимость подтверждения с возможностью открытого внешнего вызова функции.
Looks like Seneca Protocol has a critical approval exploit (open external call). $3m+ lost so far across eth/arb pic.twitter.com/MkbNShtPUm
— Spreek (Denver 28th-5th) (@spreekaway) February 28, 2024
Предупреждение о проблеме выпускали также исследователи SlowMist.
🚨SlowMist Security Alert 🚨
— SlowMist (@SlowMist_Team) February 28, 2024
Looks like @SenecaUSD is being exploited due to an open external call vulnerability, please revoke approvals for the following addresses ASAP!!!
ETH: 0xBC83F2711D0749D7454e4A9D53d8594DF0377c05
ARB: 0x2d99E1116E73110B88C468189aa6AF8Bb4675ec9 pic.twitter.com/GbmxLXTtdH
Beosin полагают, что злоумышленники использовали тщательно сконструированные параметры calldata для вызова функции Transferfrom. Это позволило им передавать авторизованные токены из контракта проекта на свои адреса, а затем конвертировать их в ETH.
Сейчас украденные средства хранятся на трех кошельках.
Команда протокола Seneca расследует инцидент. Пользователям необходимо отозвать одобрения для ряда адресов в сетях Ethereum и Arbitrum, которые опубликовали разработчики.
We are actively working with security specialists to investigate the approval bug found today.
— Seneca (@SenecaUSD) February 28, 2024
In the meantime, REVOKE approvals for the following addresses:#Ethereum
PT-ezETH 0x529eBB6D157dFE5AE2AA7199a6f9E0e9830E6Dc1
apxETH 0xD837321Fc7fabA9af2f37EFFA08d4973A9BaCe34…
Проект также обратился к хакеру с просьбой о возврате средств. Ему предложили 20% от похищенной суммы в качестве вознаграждения и прекращение дальнейшего преследования.
Dear Whitehat,
— Seneca (@SenecaUSD) February 29, 2024
Please return the funds to the following Ethereum wallet address: 0xb7aF0Aa318706D94469d8d851015F9Aa12D9c53a
We are collaborating with third-party security providers and law enforcement to trace the funds and identify recipient wallets. Acting promptly is… pic.twitter.com/syIQQXHJSQ
На момент написания цена токена SEN упала на 52% и составляет $0,04254, по данным CoinGecko.
Напомним, 23 февраля из-за эксплойта приостановил работу DeFi-протокол Blueberry.