Согласно заявлению от 28 февраля на официальном аккаунте протокола X, платформа кредитования децентрализованного финансирования (DeFi) и эмитент стейблкоинов Seneca Protocol подверглась серии атак.
Аналитическая фирма по блокчейну CertiK оценила убытки в 6,4 миллионов долларов. Команда Seneca призвала пользователей отозвать одобрение затронутых контрактов. Сотрудники Seneca заявили, что «в настоящее время работают со специалистами по безопасности над расследованием ошибки».
Seneca Protocol — это приложение для кредитования DeFi, которое позволяет пользователям вносить различные криптовалюты в качестве залога, которые затем можно использовать для чеканки и заимствования собственной стабильной монеты протокола, SenecaUSD.
Данные блокчейна показывают, что учетная запись, оканчивающаяся на 42DC, смогла перевести примерно 1 385,23 рестейкингового эфира Pendleton Kelp (PT Kelp rsETH) из пула обеспечения Seneca, что было сделано путем вызова функции «performOperations». Впоследствии аккаунт обменял эти токены на эфир (ETH) на сумму около 4 миллионов долларов в ходе трёх транзакций. После этих обменов аккаунт перенес дополнительные 717,04 ETH в деривативных токенах из различных пулов обеспечения и обменял их на ETH.
Транзакции атаки на Seneca Protocol. Источник: Etherscan.
В своем отчете CertiK заявила, что эти передачи были злонамеренными. Это стало возможным, потому что протокол содержит ошибку в функции «performOperations», говорится в отчете. Эта ошибка позволяет любой учетной записи вызывать функцию, указав OPERATION_CALL в качестве действия, которое необходимо выполнить. Это позволяет злоумышленнику «выполнять внешние вызовы на любой адрес, поскольку вызываемый объект и данные вызова полностью контролируются злоумышленником». В результате злоумышленник смог вывести средства из пула залогового обеспечения, которым он не владел, утверждает CertiK.
Исследователь блокчейна Spreek также предупредил пользователей об эксплоите X, заявив, что он представляет собой «критическую уязвимость». Spreek предложил пользователям отозвать одобрение адресов, подвергшихся эксплоиту.
По словам исследователя безопасности ddimitrov22, Seneca страдает от дополнительной уязвимости, которая не позволяет разработчикам приостанавливать контракты Seneca, поскольку функции паузы и возобновления паузы в них содержат ключевое слово «internal», что означает «нет возможности их вызвать».
«Протокол Seneca взломан, и его нельзя приостановить, хотя он наследует библиотеку Pausable. Это связано с тем, что функции _pause и _unpause являются внутренними, и их невозможно вызвать», – ddimitrov22 (@ddimitrovv22) 28 февраля 2024 г.
В своем сообщении, подтверждающем атаку, команда разработчиков заявила, что они проводят расследование и опубликуют обновление «в ближайшее время».
Взломы и эксплоиты продолжают угрожать пользователям Web3 в 2024 году. 23 февраля соучредитель Axie Infinity Джефф «Джихоз» Зирлин потерял 9,7 миллиона долларов в результате взлома его личных кошельков. В тот же день протокол DeFi Blueberry был взломан за 457 ETH.