Смартконтракт омнічейн-протоколу Seneca на Ethereum зламали хакери, що призвело до втрати понад 1900 ETH (~$6,5 млн). Про це повідомили аналітики Beosin.
🚨@SenecaUSD exploited for 1,900 $ETH (worth ~$6.5M).
The attacker used constructed calldata parameters to call transferfrom and transfer tokens that were approved to the project's contracts to the attacker's address.
The stolen funds are now held across 3 addresses.
Revoke… https://t.co/M1BwoU5jn4 pic.twitter.com/sKg56m9lVl
— Beosin Alert (@BeosinAlert) February 29, 2024
Раніше користувач X під ніком Spreek виявив у протоколі критичну вразливість підтвердження з можливістю відкритого зовнішнього виклику функції.
Looks like Seneca Protocol has a critical approval exploit (open external call). $3m+ lost so far across eth/arb pic.twitter.com/MkbNShtPUm
— Spreek (Denver 28th-5th) (@spreekaway) February 28, 2024
Попередження про проблему випускали також дослідники SlowMist.
🚨SlowMist Security Alert 🚨
Looks like @SenecaUSD is being exploited due to an open external call vulnerability, please revoke approvals for the following addresses ASAP!!!
ETH: 0xBC83F2711D0749D7454e4A9D53d8594DF0377c05
ARB: 0x2d99E1116E73110B88C468189aa6AF8Bb4675ec9 pic.twitter.com/GbmxLXTtdH— SlowMist (@SlowMist_Team) February 28, 2024
Beosin вважають, що зловмисники використовували ретельно сконструйовані параметри calldata для виклику функції Transferfrom. Це дало їм змогу передавати авторизовані токени з контракту проєкту на свої адреси, а потім конвертувати їх в ETH.
Зараз вкрадені кошти зберігаються на трьох гаманцях.
Команда протоколу Seneca розслідує інцидент. Користувачам необхідно відкликати схвалення для низки адрес у мережах Ethereum і Arbitrum, які опублікували розробники.
We are actively working with security specialists to investigate the approval bug found today.
In the meantime, REVOKE approvals for the following addresses:#Ethereum
PT-ezETH 0x529eBB6D157dFE5AE2AA7199a6f9E0e9830E6Dc1
apxETH 0xD837321Fc7fabA9af2f37EFFA08d4973A9BaCe34…— Seneca (@SenecaUSD) February 28, 2024
Проєкт також звернувся до хакера з проханням про повернення коштів. Йому запропонували 20% від викраденої суми як винагороду і припинення подальшого переслідування.
Dear Whitehat,
Please return the funds to the following Ethereum wallet address: 0xb7aF0Aa318706D94469d8d851015F9Aa12D9c53a
We are collaborating with third-party security providers and law enforcement to trace the funds and identify recipient wallets. Acting promptly is… pic.twitter.com/syIQQXHJSQ
— Seneca (@SenecaUSD) February 29, 2024
На момент написання ціна токена SEN впала на 52% і становить $0,04254, за даними CoinGecko.
Нагадаємо, 23 лютого через атаку призупинив роботу DeFi-протокол Blueberry.