Seneca Hacker επιστρέφει $6 εκατομμύρια κλεμμένο Crypto

Το πρωτόκολλο stablecoin Seneca πρότεινε αμοιβή 20% στο άτομο που κατάφερε να αποκτήσει παράνομη πρόσβαση σε ψηφιακά περιουσιακά στοιχεία αξίας τουλάχιστον 6,4 εκατομμυρίων δολαρίων εκμεταλλευόμενο ένα ελάττωμα στον μηχανισμό έγκρισης του έξυπνου συμβολαίου του πρωτοκόλλου.

Στις 28 Φεβρουαρίου, αρκετές εταιρείες ασφάλειας blockchain εντόπισαν το κενό ασφαλείας στο πρωτόκολλο stablecoin.

Εταιρείες όπως η CertiK ειδοποίησαν τους χρήστες για το κενό, συμβουλεύοντάς τους να αποσύρουν τις εγκρίσεις από μια διεύθυνση που συνδέεται με τα δίκτυα Ethereum και Arbitrum.

Η αρχική ζημία θεωρήθηκε ότι ήταν περίπου 3 εκατομμύρια δολάρια, αλλά η περαιτέρω έρευνα αποκάλυψε ότι η παραβίαση είχε ως αποτέλεσμα την απώλεια πάνω από 1.900 Ether, αξίας περίπου 6,4 εκατομμυρίων δολαρίων.

Οι αναλυτές ασφαλείας της CertiK επισήμαναν ότι η παραβίαση προκλήθηκε από μια σοβαρή ευπάθεια στη λειτουργία "call" του έξυπνου συμβολαίου.

Ο Joe Green, επικεφαλής της ομάδας ταχείας αντίδρασης της CertiK, μοιράστηκε με το Cointelegraph ότι αυτό το ελάττωμα επέτρεψε στον χάκερ να πραγματοποιήσει μη εξουσιοδοτημένες εξωτερικές κλήσεις σε οποιαδήποτε διεύθυνση, μεταφέροντας έτσι περιουσιακά στοιχεία απευθείας στον εαυτό του από διευθύνσεις που είχαν δώσει δικαιώματα στα συμβόλαια που είχαν παραβιαστεί

.

Ο Green τόνισε τη σημασία του ελέγχου των εξωτερικών κλήσεων, ειδικά κατά τη διάρκεια αναβαθμίσεων συμβολαίων, υποδεικνύοντας ότι η ασφάλεια ενός συμβολαίου κατά την έναρξη μπορεί να τεθεί σε κίνδυνο από μεταγενέστερες τροποποιήσεις.

Το επεξήγησε με το εξής παράδειγμα: "Ο A εμπιστεύεται τον B, ο B εμπιστεύεται τον C, ο C εμπιστεύεται τον D, αλλά μια νέα αναβάθμιση μπορεί να σπάσει όταν ο A δεν πρέπει να εμπιστεύεται τον D."

Η Seneca ανακοίνωσε ότι αναθέτει σε εμπειρογνώμονες να ερευνήσουν το περιστατικό και έχει προκηρύξει αμοιβή 1,2 εκατομμυρίων δολαρίων για την ανάκτηση των κλεμμένων κεφαλαίων.

Σε ένα δημόσιο μήνυμα στις 29 Φεβρουαρίου, η Seneca ζήτησε από τον δράστη να επιστρέψει το 80% των λεηλατημένων περιουσιακών στοιχείων σε μια καθορισμένη διεύθυνση Ethereum, προσφέροντας στον χάκερ να κρατήσει το 20% της λείας.

Στην έκκλησή της, η Seneca ανέφερε τη συνεργασία της με εταιρείες ασφαλείας και τις διωκτικές αρχές για τον εντοπισμό των κλεμμένων περιουσιακών στοιχείων, πιέζοντας τον χάκερ να επιστρέψει τα κεφάλαια αμέσως για να αποφύγει τις νομικές επιπτώσεις.

"Η άμεση δράση είναι ζωτικής σημασίας, γι' αυτό σας παρακαλούμε να επιστρέψετε τα κεφάλαια το συντομότερο δυνατό για να αποφύγετε περαιτέρω νομικές ενέργειες", αναφέρεται στο μήνυμα της Seneca.

Αμέσως μετά την έκδοση αυτής της έκκλησης, ο χάκερ επέστρεψε περίπου 1.537 ETH, αξίας περίπου 5,3 εκατομμυρίων δολαρίων, στη διεύθυνση που είχε καθορίσει η Seneca.

Ο δράστης κράτησε 300 ETH, που αντιστοιχούν σε περίπου 1 εκατομμύριο δολάρια, αποδεχόμενος έτσι την αμοιβή 20% που είχε προτείνει ο Seneca, και στη συνέχεια διέσπειρε τις υπόλοιπες ETH σε δύο άλλες διευθύνσεις.

Πηγές:

https://cointelegraph.com/news/seneca-hacker-returns-stolen-funds-exploit

https://twitter.com/CertiKAlert/status/1762871285036511328

https://twitter.com/spreekaway/status/1762857769714012217

https://twitter.com/SenecaUSD/status/1762886130561630227

https://twitter.com/SenecaUSD/status/1762999045109248461

https://twitter.com/PeckShieldAlert/status/1763109818766946512