29 февраля 2024 ForkLog
Смарт-контракт омничейн-протокола Seneca на Ethereum взломан хакерами, что привело к потере более 1900 ETH (~$6,5 млн). Об этом сообщили аналитики Beosin.
Ранее пользователь X под ником Spreek обнаружил в протоколе критическую уязвимость подтверждения с возможностью открытого внешнего вызова функции.
Предупреждение о проблеме выпускали также исследователи SlowMist.
Beosin полагают, что злоумышленники использовали тщательно сконструированные параметры calldata для вызова функции Transferfrom. Это позволило им передавать авторизованные токены из контракта проекта на свои адреса, а затем конвертировать их в ETH.
Сейчас украденные средства хранятся на трех кошельках.
Команда протокола Seneca расследует инцидент. Пользователям необходимо отозвать одобрения для ряда адресов в сетях Ethereum и Arbitrum, которые опубликовали разработчики.
Проект также обратился к хакеру с просьбой о возврате средств. Ему предложили 20% от похищенной суммы в качестве вознаграждения и прекращение дальнейшего преследования.
На момент написания цена токена SEN упала на 52% и составляет $0,04254, по данным CoinGecko.
🚨@SenecaUSD exploited for 1,900 $ETH (worth ~$6.5M).
The attacker used constructed calldata parameters to call transferfrom and transfer tokens that were approved to the project's contracts to the attacker's address.
The stolen funds are now held across 3 addresses.
Revoke… https://t.co/M1BwoU5jn4
— Beosin Alert (@BeosinAlert) February 29, 2024
The attacker used constructed calldata parameters to call transferfrom and transfer tokens that were approved to the project's contracts to the attacker's address.
The stolen funds are now held across 3 addresses.
Revoke… https://t.co/M1BwoU5jn4
— Beosin Alert (@BeosinAlert) February 29, 2024
Ранее пользователь X под ником Spreek обнаружил в протоколе критическую уязвимость подтверждения с возможностью открытого внешнего вызова функции.
Looks like Seneca Protocol has a critical approval exploit (open external call). $3m+ lost so far across eth/arb
— Spreek (Denver 28th-5th) (@spreekaway) February 28, 2024
— Spreek (Denver 28th-5th) (@spreekaway) February 28, 2024
Предупреждение о проблеме выпускали также исследователи SlowMist.
🚨SlowMist Security Alert 🚨
Looks like @SenecaUSD is being exploited due to an open external call vulnerability, please revoke approvals for the following addresses ASAP!!!
ETH: 0xBC83F2711D0749D7454e4A9D53d8594DF0377c05
ARB: 0x2d99E1116E73110B88C468189aa6AF8Bb4675ec9
— SlowMist (@SlowMist_Team) February 28, 2024
Looks like @SenecaUSD is being exploited due to an open external call vulnerability, please revoke approvals for the following addresses ASAP!!!
ETH: 0xBC83F2711D0749D7454e4A9D53d8594DF0377c05
ARB: 0x2d99E1116E73110B88C468189aa6AF8Bb4675ec9
— SlowMist (@SlowMist_Team) February 28, 2024
Beosin полагают, что злоумышленники использовали тщательно сконструированные параметры calldata для вызова функции Transferfrom. Это позволило им передавать авторизованные токены из контракта проекта на свои адреса, а затем конвертировать их в ETH.
Сейчас украденные средства хранятся на трех кошельках.
Команда протокола Seneca расследует инцидент. Пользователям необходимо отозвать одобрения для ряда адресов в сетях Ethereum и Arbitrum, которые опубликовали разработчики.
We are actively working with security specialists to investigate the approval bug found today.
In the meantime, REVOKE approvals for the following addresses:#Ethereum
PT-ezETH 0x529eBB6D157dFE5AE2AA7199a6f9E0e9830E6Dc1
apxETH 0xD837321Fc7fabA9af2f37EFFA08d4973A9BaCe34…
— Seneca (@SenecaUSD) February 28, 2024
In the meantime, REVOKE approvals for the following addresses:#Ethereum
PT-ezETH 0x529eBB6D157dFE5AE2AA7199a6f9E0e9830E6Dc1
apxETH 0xD837321Fc7fabA9af2f37EFFA08d4973A9BaCe34…
— Seneca (@SenecaUSD) February 28, 2024
Проект также обратился к хакеру с просьбой о возврате средств. Ему предложили 20% от похищенной суммы в качестве вознаграждения и прекращение дальнейшего преследования.
Dear Whitehat,
Please return the funds to the following Ethereum wallet address: 0xb7aF0Aa318706D94469d8d851015F9Aa12D9c53a
We are collaborating with third-party security providers and law enforcement to trace the funds and identify recipient wallets. Acting promptly is…
— Seneca (@SenecaUSD) February 29, 2024
Please return the funds to the following Ethereum wallet address: 0xb7aF0Aa318706D94469d8d851015F9Aa12D9c53a
We are collaborating with third-party security providers and law enforcement to trace the funds and identify recipient wallets. Acting promptly is…
— Seneca (@SenecaUSD) February 29, 2024
На момент написания цена токена SEN упала на 52% и составляет $0,04254, по данным CoinGecko.
Не является индивидуальной инвестиционной рекомендацией | При копировании ссылка обязательна | Нашли ошибку - выделить и нажать Ctrl+Enter | Жалоба