Хакер Seneca Protocol вернул токены Ether на сумму 5,3 миллиона долларов после того, как потратил 6,4 миллиона долларов в сетях Ethereum и Arbitrum. Первоначальные расследования показали, что была использована ошибка механизма утверждения в смарт-контракте протокола.

Протокол стейблкоина недавно подтвердил связь с правоохранительными органами, но предложил снисходительность, заявив, что команда не будет предпринимать юридические шаги, если хакер вернет 80% средств, оставив 20% в качестве вознаграждения.

Seneca Hacker возвращает 80% украденных средств

Уязвимость возникла из-за функции в коде смарт-контракта протокола Seneca под названием «performOperations». Эта функция, открытая для внешних вызовов, не имела адекватной проверки своих входных данных.

Отсутствие проверки входных данных является критическим недостатком при разработке смарт-контрактов. Воспользовавшись этой уязвимостью, злоумышленник создал определенные данные для запуска условий, позволяющих им вызывать любой контракт в блокчейне с произвольными данными.

Эта возможность предоставляет злоумышленнику неограниченный доступ для взаимодействия с другими контрактами, маскируясь под уязвимые. В результате злоумышленник приступил к переводу активов с адресов, авторизованных для скомпрометированных контрактов.

Исследователь криптобезопасности Дэниел фон Фанге обнаружил уязвимость и предположительно был исключен с сервера Discord проекта, где команда удаляла упоминания об эксплойте.

Согласно последнему сообщению Peck Shield, эксплойтер отправил 1537 Ethereum на адрес Seneca, который является основным адресом, связанным с эксплойтом. Хакер сохранил 300 ETH на сумму около 1 миллиона долларов и получил вознаграждение в размере 20%, предложенное Сенекой. Впоследствии они перевели ETH на два разных адреса.

28 февраля протокол Seneca подвергся масштабному взлому, в результате которого его собственный токен SEN увеличил потери на 80% за день. Первоначально потери оценивались примерно в 3 миллиона долларов, но дальнейшее расследование показало, что в результате эксплойта было украдено более 1900 эфиров на сумму около 6,4 миллиона долларов.

Позже Seneca выступила с заявлением, что сотрудничает с экспертами в расследовании эксплойта. Затем в протоколе было объявлено о вознаграждении в размере 1,2 миллиона долларов за возврат украденных средств.

Подтверждение Сенеки

Сенека подтвердил в официальном сообщении в среду, что 80% средств были успешно возвращены. В нем говорится, что эксплойт в первую очередь нацелен на активы, хранящиеся в кошельках пользователей, и уточняется, что собственные средства Сенеки напрямую не пострадали.

Вместо этого эксплойт был сосредоточен на внешних пользовательских ресурсах экосистемы Seneca.

«Внедренный код Палаты точно такой же, как тот, который прошел аудит, за исключением исправлений, явно предложенных аудиторской компанией и реализованных именно указанными способами. Аудит никоим образом не является гарантией абсолютной безопасности, но он того стоит. отметив, что Сенека решил работать с крупной аудиторской компанией именно с целью заключения контракта с Палатой».

Источник