L'hacker Seneca restituisce 6 milioni di dollari di criptovalute rubate

Il protocollo stablecoin Seneca ha proposto una ricompensa del 20% all'individuo che è riuscito ad accedere illecitamente ad almeno 6,4 milioni di dollari in beni digitali sfruttando una falla nel meccanismo di approvazione dello smart contract del protocollo.

Il 28 febbraio, diverse società di sicurezza blockchain hanno identificato la falla di sicurezza all'interno del protocollo stablecoin.

Aziende come CertiK hanno avvisato gli utenti della falla, consigliando loro di ritirare le approvazioni da un indirizzo associato alle reti Ethereum e Arbitrum.

Il danno iniziale era ritenuto di circa 3 milioni di dollari, ma ulteriori indagini hanno rivelato che la violazione ha comportato la perdita di oltre 1.900 Ether, per un valore di circa 6,4 milioni di dollari.

Gli analisti della sicurezza di CertiK hanno sottolineato che la violazione è stata causata da una grave vulnerabilità nella funzione "call" dello smart contract.

Joe Green, leader del team di risposta rapida di CertiK, ha condiviso con Cointelegraph che questa falla ha permesso all'hacker di effettuare chiamate esterne non autorizzate a qualsiasi indirizzo, trasferendo così beni direttamente a se stessi dagli indirizzi che avevano dato i permessi ai contratti compromessi

.

Green ha sottolineato l'importanza di controllare le chiamate esterne, soprattutto durante gli aggiornamenti dei contratti, suggerendo che la sicurezza di un contratto al momento del lancio potrebbe essere compromessa da modifiche successive.

Ha illustrato questo aspetto con "A si affida a B; B si affida a C; C si affida a D, ma un nuovo aggiornamento potrebbe rompersi quando A non dovrebbe fidarsi di D"."

Seneca ha annunciato che sta ingaggiando degli esperti per indagare sull'incidente e ha proposto una taglia di 1,2 milioni di dollari per il recupero dei fondi sottratti.

In un messaggio pubblico del 29 febbraio, Seneca ha chiesto all'autore del furto di restituire l'80% delle attività saccheggiate a un indirizzo Ethereum designato, offrendo all'hacker di trattenere il 20% del bottino.

Nel suo appello, Seneca ha menzionato la sua collaborazione con le società di sicurezza e le forze dell'ordine per rintracciare i beni rubati, facendo pressione sull'hacker affinché restituisca i fondi prontamente per evitare ripercussioni legali.

"Agire tempestivamente è fondamentale, quindi ti chiediamo gentilmente di restituire i fondi il prima possibile per evitare ulteriori azioni legali", si legge nel messaggio di Seneca.

Poco dopo aver lanciato questo appello, l'hacker ha restituito circa 1.537 ETH, per un valore di circa 5,3 milioni di dollari, all'indirizzo indicato da Seneca.

Il colpevole ha trattenuto 300 ETH, equivalenti a circa 1 milione di dollari, accettando così la taglia del 20% proposta da Seneca, e ha poi disperso i restanti ETH ad altri due indirizzi.

Fonti:

https://cointelegraph.com/news/seneca-hacker-returns-stolen-funds-exploit

https://twitter.com/CertiKAlert/status/1762871285036511328

https://twitter.com/spreekaway/status/1762857769714012217

https://twitter.com/SenecaUSD/status/1762886130561630227

https://twitter.com/SenecaUSD/status/1762999045109248461

https://twitter.com/PeckShieldAlert/status/1763109818766946512