Уязвимость в протоколе Seneca привела к краже 1900 ETH
Смарт-контракт омничейн-протокола Seneca на Ethereum взломан хакерами, что привело к потере более 1900 ETH (~$6,5 млн). Об этом сообщили аналитики Beosin.
🚨@SenecaUSD exploited for 1,900 $ETH (worth ~$6.5M).
— Beosin Alert (@BeosinAlert) February 29, 2024
The attacker used constructed calldata parameters to call transferfrom and transfer tokens that were approved to the project's contracts to the attacker's address.
The stolen funds are now held across 3 addresses.
Revoke… https://t.co/M1BwoU5jn4 pic.twitter.com/sKg56m9lVl
Ранее пользователь X под ником Spreek обнаружил в протоколе критическую уязвимость подтверждения с возможностью открытого внешнего вызова функции.
Looks like Seneca Protocol has a critical approval exploit (open external call). $3m+ lost so far across eth/arb pic.twitter.com/MkbNShtPUm
— Spreek (Denver 28th-5th) (@spreekaway) February 28, 2024
Предупреждение о проблеме выпускали также исследователи SlowMist.
🚨SlowMist Security Alert 🚨
— SlowMist (@SlowMist_Team) February 28, 2024
Looks like @SenecaUSD is being exploited due to an open external call vulnerability, please revoke approvals for the following addresses ASAP!!!
ETH: 0xBC83F2711D0749D7454e4A9D53d8594DF0377c05
ARB: 0x2d99E1116E73110B88C468189aa6AF8Bb4675ec9 pic.twitter.com/GbmxLXTtdH
Beosin полагают, что злоумышленники использовали тщательно сконструированные параметры calldata для вызова функции Transferfrom. Это позволило им передавать авторизованные токены из контракта проекта на свои адреса, а затем конвертировать их в ETH.
Средства были перемещены на три кошелька.
Команда протокола Seneca расследует инцидент. Пользователям необходимо отозвать одобрения для ряда адресов в сетях Ethereum и Arbitrum, которые опубликовали разработчики.
We are actively working with security specialists to investigate the approval bug found today.
— Seneca (@SenecaUSD) February 28, 2024
In the meantime, REVOKE approvals for the following addresses:#Ethereum
PT-ezETH 0x529eBB6D157dFE5AE2AA7199a6f9E0e9830E6Dc1
apxETH 0xD837321Fc7fabA9af2f37EFFA08d4973A9BaCe34…
Проект также обратился к хакеру с просьбой о возврате средств. Ему предложили 20% от похищенной суммы в качестве вознаграждения и прекращение дальнейшего преследования.
Dear Whitehat,
— Seneca (@SenecaUSD) February 29, 2024
Please return the funds to the following Ethereum wallet address: 0xb7aF0Aa318706D94469d8d851015F9Aa12D9c53a
We are collaborating with third-party security providers and law enforcement to trace the funds and identify recipient wallets. Acting promptly is… pic.twitter.com/syIQQXHJSQ
Хакер вернул 1537 ETH (~$5,3 млн) на кошелек, указанный командой Seneca. Об этом сообщили эксперты PeckShield.
#PeckShieldAlert @SenecaUSD hacker-labeled address has returned 1,537 $ETH (worth ~$5.3m) to #Seneca: Deployer address & transferred 300 $ETH (~$1.04m) to 2 new addresses pic.twitter.com/hNOFMr1aTk
— PeckShieldAlert (@PeckShieldAlert) February 29, 2024
В качестве вознаграждения злоумышленник забрал оговоренные 20% от суммы — 300 ETH ($1 млн). Эти активы были переведены на два новых кошелька.
На момент написания цена токена SEN упала на 52% и составляет $0,04254, по данным CoinGecko.
Напомним, 23 февраля из-за эксплойта приостановил работу DeFi-протокол Blueberry.
Рассылки ForkLog: держите руку на пульсе биткоин-индустрии!
