Haker Seneca zwraca 6 milionów dolarów skradzionych kryptowalut

Protokół stablecoin Seneca zaproponował 20% nagrodę dla osoby, której udało się nielegalnie uzyskać dostęp do co najmniej 6,4 miliona dolarów w zasobach cyfrowych, wykorzystując lukę w mechanizmie zatwierdzania inteligentnego kontraktu protokołu.

W dniu 28 lutego kilka firm zajmujących się bezpieczeństwem blockchain zidentyfikowało naruszenie bezpieczeństwa w protokole stablecoin.

Firmy takie jak CertiK ostrzegły użytkowników o naruszeniu, doradzając im wycofanie zatwierdzeń z adresu powiązanego z sieciami Ethereum i Arbitrum.

Początkowo uważano, że szkody wyniosły około 3 milionów dolarów, ale dalsze dochodzenie wykazało, że naruszenie spowodowało utratę ponad 1900 Etherów, wycenianych na około 6,4 miliona dolarów.

Analitycy bezpieczeństwa CertiK wskazali, że naruszenie było spowodowane poważną luką w funkcji "call" inteligentnego kontraktu.

Joe Green, lider zespołu szybkiego reagowania CertiK, podzielił się z Cointelegraph, że wada ta pozwoliła hakerowi na wykonywanie nieautoryzowanych połączeń zewnętrznych na dowolny adres, przenosząc w ten sposób aktywa bezpośrednio do siebie z adresów, które udzieliły uprawnień do naruszonych kontraktów

.

Green podkreślił znaczenie kontroli połączeń zewnętrznych, zwłaszcza podczas aktualizacji kontraktów, sugerując, że bezpieczeństwo kontraktu w momencie uruchomienia może zostać naruszone przez późniejsze modyfikacje.

Zilustrował to przykładem "A powierza B; B powierza C; C powierza D, ale nowa aktualizacja może się zepsuć, gdy A nie powinno ufać D."."

Seneca ogłosiła, że angażuje ekspertów do zbadania incydentu i zaproponowała nagrodę w wysokości 1,2 miliona dolarów za odzyskanie skradzionych funduszy.

W publicznej wiadomości z 29 lutego Seneca zażądała od sprawcy zwrotu 80% zrabowanych aktywów na wskazany adres Ethereum, oferując hakerowi zatrzymanie 20% łupu.

W swoim apelu Seneca wspomniała o współpracy z firmami ochroniarskimi i organami ścigania w celu śledzenia skradzionych aktywów, naciskając na hakera, aby niezwłocznie zwrócił środki w celu uniknięcia reperkusji prawnych.

"Szybkie działanie ma kluczowe znaczenie, dlatego uprzejmie prosimy o jak najszybszy zwrot środków, aby uniknąć dalszych działań prawnych" - czytamy w wiadomości od Seneca.

Krótko po wystosowaniu tej prośby, haker zwrócił około 1,537 ETH, wartych około 5,3 miliona dolarów, na adres podany przez Seneca.

Przestępca zatrzymał 300 ETH, równowartość około 1 miliona dolarów, akceptując tym samym 20% nagrodę zaproponowaną przez Seneca, a następnie rozproszył pozostałe ETH na dwa inne adresy.

Źródła:

https://cointelegraph.com/news/seneca-hacker-returns-stolen-funds-exploit

https://twitter.com/CertiKAlert/status/1762871285036511328

https://twitter.com/spreekaway/status/1762857769714012217

https://twitter.com/SenecaUSD/status/1762886130561630227

https://twitter.com/SenecaUSD/status/1762999045109248461

https://twitter.com/PeckShieldAlert/status/1763109818766946512