Un pirate de Seneca restitue 6 millions de dollars de crypto-monnaie volés

Le protocole stablecoin Seneca a proposé une récompense de 20 % à l'individu qui est parvenu à accéder illicitement à au moins 6,4 millions de dollars d'actifs numériques en exploitant une faille dans le mécanisme d'approbation du contrat intelligent du protocole.

Le 28 février, plusieurs sociétés de sécurité de la blockchain ont identifié la faille de sécurité au sein du protocole stablecoin.

Des sociétés telles que CertiK ont alerté les utilisateurs de la faille, leur conseillant de retirer les approbations d'une adresse associée aux réseaux Ethereum et Arbitrum.

Le préjudice initial aurait été d'environ 3 millions de dollars, mais une enquête plus approfondie a révélé que la brèche avait entraîné la perte de plus de 1 900 Ether, d'une valeur d'environ 6,4 millions de dollars.

Les analystes en sécurité de CertiK ont souligné que la brèche avait été causée par une grave vulnérabilité dans la fonction "call" du contrat intelligent.

Joe Green, chef de l'équipe d'intervention rapide de CertiK, a déclaré à Cointelegraph que cette faille permettait au pirate de faire des appels externes non autorisés à n'importe quelle adresse, transférant ainsi des actifs directement à eux-mêmes à partir d'adresses qui avaient donné des autorisations aux contrats compromis

.

Green a souligné l'importance d'examiner minutieusement les appels externes, en particulier lors des mises à niveau des contrats, suggérant que la sécurité d'un contrat au moment de son lancement pouvait être compromise par des modifications ultérieures

Il a illustré son propos en disant : "A fait confiance à B ; B fait confiance à C ; C fait confiance à D, mais une nouvelle mise à niveau peut être interrompue alors que A n'est pas censé faire confiance à D."

Seneca a annoncé qu'elle engageait des experts pour enquêter sur l'incident et a proposé une prime de 1,2 million de dollars pour la récupération des fonds volés.

Dans un message public du 29 février, Seneca a demandé au pirate de retourner 80 % des actifs pillés à une adresse Ethereum désignée, offrant de laisser au pirate 20 % du butin.

Dans son appel, Seneca a mentionné sa collaboration avec des entreprises de sécurité et des forces de l'ordre pour traquer les actifs volés, pressant le pirate de retourner les fonds rapidement pour contourner les répercussions juridiques.

"Il est essentiel d'agir rapidement, c'est pourquoi nous vous demandons de bien vouloir restituer les fonds dès que possible afin d'éviter toute autre action en justice", indique le message de Seneca.

Peu de temps après avoir lancé cet appel, le pirate a renvoyé environ 1 537 ETH, d'une valeur d'environ 5,3 millions de dollars, à l'adresse indiquée par Seneca.

Le délinquant a gardé 300 ETH, équivalant à environ 1 million de dollars, acceptant ainsi la prime de 20 % proposée par Seneca, puis a dispersé les ETH restants à deux autres adresses.

Sources:

https://cointelegraph.com/news/seneca-hacker-returns-stolen-funds-exploit

https://twitter.com/CertiKAlert/status/1762871285036511328

https://twitter.com/spreekaway/status/1762857769714012217

https://twitter.com/SenecaUSD/status/1762886130561630227

https://twitter.com/SenecaUSD/status/1762999045109248461

https://twitter.com/PeckShieldAlert/status/1763109818766946512