El hacker Séneca devuelve 6 millones de dólares en criptomonedas robadas

El protocolo stablecoin Séneca ha propuesto una recompensa del 20% al individuo que consiguió acceder ilícitamente a al menos 6,4 millones de dólares en activos digitales aprovechando un fallo en el mecanismo de aprobación del contrato inteligente del protocolo.

El 28 de febrero, varias empresas de seguridad blockchain identificaron la brecha de seguridad dentro del protocolo stablecoin.

Firmas como CertiK alertaron a los usuarios de la brecha, aconsejándoles que retiraran las aprobaciones de una dirección asociada a las redes Ethereum y Arbitrum.

Se creía que los daños iniciales rondaban los 3 millones de dólares, pero investigaciones posteriores revelaron que la brecha provocó la pérdida de más de 1.900 Ether, valorados en aproximadamente 6,4 millones de dólares.

Los analistas de seguridad de CertiK señalaron que la brecha fue causada por una grave vulnerabilidad en la función "call" del contrato inteligente.

Joe Green, líder del equipo de respuesta rápida de CertiK, compartió con Cointelegraph que este fallo permitía al hacker realizar llamadas externas no autorizadas a cualquier dirección, transfiriendo así activos directamente a ellos mismos desde direcciones que habían dado permisos a los contratos comprometidos

.

Green hizo hincapié en la importancia de escrutar las llamadas externas, especialmente durante las actualizaciones de los contratos, sugiriendo que la seguridad de un contrato en su lanzamiento podría verse comprometida por modificaciones posteriores.

Lo ilustró con "A confía en B; B confía en C; C confía en D, pero una nueva actualización puede romperse cuando se supone que A no confía en D."

Seneca anunció que está contratando a expertos para que profundicen en el incidente y ha ofrecido una recompensa de 1,2 millones de dólares por la recuperación de los fondos sustraídos.

En un mensaje público del 29 de febrero, Seneca pidió al autor que devolviera el 80% de los activos robados a una dirección Ethereum designada, ofreciendo que el hacker se quedara con el 20% del botín.

En su llamamiento, Seneca mencionó su colaboración con empresas de seguridad y fuerzas de seguridad para rastrear los activos robados, presionando al hacker para que devolviera los fondos rápidamente para evitar repercusiones legales.

"Actuar con prontitud es crucial, por lo que le rogamos que devuelva los fondos lo antes posible para evitar cualquier otra acción legal", decía el mensaje de Séneca.

Poco después de emitir este ruego, el hacker devolvió aproximadamente 1.537 ETH, por valor de unos 5,3 millones de dólares, a la dirección especificada por Seneca.

El delincuente se quedó con 300 ETH, equivalentes a aproximadamente 1 millón de dólares, aceptando así la recompensa del 20% que había propuesto Séneca, y luego dispersó los ETH restantes a otras dos direcciones.

Fuentes:

https://cointelegraph.com/news/seneca-hacker-returns-stolen-funds-exploit

https://twitter.com/CertiKAlert/status/1762871285036511328

https://twitter.com/spreekaway/status/1762857769714012217

https://twitter.com/SenecaUSD/status/1762886130561630227

https://twitter.com/SenecaUSD/status/1762999045109248461

https://twitter.com/PeckShieldAlert/status/1763109818766946512