block-chain24.com
Протокол стейблкоинов Seneca предложил вознаграждение в размере 20% хакеру, который получил доступ к цифровым активам на сумму не менее 6,4 миллиона долларов после использования ошибки механизма утверждения в смарт-контракте протокола.
28 февраля несколько фирм, занимающихся безопасностью блокчейнов, отметили эксплоит в протоколе стабильной монеты. Такие компании, как CertiK, предупредили пользователей об эксплоите, призывая их отозвать одобрения с адреса в сетях Ethereum и Arbitrum. Первоначальная оценка убытков составила 3 миллиона долларов, но позже выяснилось, что в результате эксплоита было похищено более 1900 ETH на сумму около 6,4 миллиона долларов.
Кошелек злоумышленника Seneca содержит около 3 миллионов долларов в ETH. Источник: CertiK.
Аналитики безопасности CertiK объяснили, что эксплоит произошел из-за критической уязвимости «вызова» в смарт-контракте протокола. Джо Грин, руководитель группы быстрого реагирования CertiK, рассказал, что эта уязвимость позволяет злоумышленнику выполнять внешние вызовы на любой адрес.
«В этом инциденте злоумышленник смог выполнить произвольные внешние вызовы для перевода активов с адресов, которые предоставили одобрение уязвимым контрактам непосредственно себе», – объяснил Грин.
Грин добавил, что ключевым выводом из этого инцидента является необходимость обращать внимание на любые внешние сигналы, особенно при обновлении контрактов. Это означает, что хотя контракт может быть безопасным во время его развертывания, в определенных случаях он может нарушиться.
«А доверяет Б; Б доверяет С; C доверяет D, но новое обновление может сломаться, если A не должен доверять D», — поделился Грин.
Seneca заявила, что работает со специалистами над расследованием произошедшего. Разработчики также предложили награду в размере 1,2 миллиона долларов за возврат украденных средств. В ончейновом сообщении от 29 февраля команда Seneca попросила хакера вернуть 80% украденных средств на адрес Ethereum, позволив хакеру сохранить 20%.
Сетевое сообщение хакеру от разработчиков Seneca.
В сообщении Seneca сообщила, что сотрудничает с поставщиками услуг безопасности и правоохранительными органами для отслеживания средств. Разработчики призвали хакера вернуть средства, чтобы избежать юридических последствий.
«Действовать оперативно крайне важно, поэтому мы просим вас вернуть средства как можно скорее, чтобы избежать дальнейших судебных исков», — говорится в сообщении.
Через несколько часов после сообщения от Seneca хакер вернул около 1537 ETH на сумму около 5,3 миллиона долларов на адрес кошелька, указанный Seneca. Он сохранил 300 ETH на сумму около 1 миллиона долларов и принял вознаграждение в размере 20%, предложенное Seneca. Затем злоумышленник перевел оставшиеся ETH на два разных адреса.