Theo một tuyên bố ngày 28 tháng 2 trên tài khoản X chính thức của giao thức, nền tảng cho vay tài chính phi tập trung (DeFi) và nhà phát hành stablecoin Seneca Protocol đã bị tấn công.
Trong một báo cáo, công ty phân tích blockchain CertiK ước tính khoản lỗ cho đến nay là 6.4 triệu USD.
Đội ngũ Seneca kêu gọi người dùng thu hồi phê duyệt đối với các hợp đồng bị ảnh hưởng. Họ cho biết nhân viên của họ “hiện đang làm việc với các chuyên gia bảo mật để điều tra lỗi này”.
We are actively working with security specialists to investigate the approval bug found today.
In the meantime, REVOKE approvals for the following addresses:#Ethereum
PT-ezETH 0x529eBB6D157dFE5AE2AA7199a6f9E0e9830E6Dc1
apxETH 0xD837321Fc7fabA9af2f37EFFA08d4973A9BaCe34…— Seneca (@SenecaUSD) February 28, 2024
Seneca Protocol là một ứng dụng cho vay DeFi cho phép người dùng gửi nhiều loại tiền điện tử làm tài sản thế chấp, sau đó có thể được sử dụng để đúc và vay stablecoin gốc của giao thức, SenecaUSD.
Dữ liệu blockchain cho thấy một tài khoản kết thúc bằng 42DC có thể chuyển khoảng 1,385.23 Pendleton Kelp đã restake Ether (PT Kelp rsETH) từ pool tài sản thế chấp Seneca, điều này đã được thực hiện bằng cách gọi chức năng “performOperations”.
Sau đó, tài khoản đã swap các token này lấy Ether (ETH) trị giá khoảng 4 triệu USD trong suốt ba giao dịch.
Sau những lần swap này, tài khoản đã chuyển thêm 717.04 token phái sinh ETH từ các pool tài sản thế chấp khác nhau và swap chúng lấy ETH.
Trong báo cáo của mình, CertiK tuyên bố rằng những giao dịch chuyển tiền này là độc hại. Báo cáo cho biết chúng có thể thực hiện được vì giao thức có một lỗ hổng trong chức năng “PerformOperations” của nó.
Lỗi này cho phép bất kỳ tài khoản nào gọi hàm trong khi chỉ định OPERATION_CALL làm hành động cần thực hiện.
Điều này cho phép kẻ tấn công “thực hiện các cuộc gọi bên ngoài tới bất kỳ địa chỉ nào vì callee và callData hoàn toàn bị kẻ tấn công kiểm soát”.
Kết quả là kẻ tấn công đã có thể rút tiền từ nhóm tài sản thế chấp mà nó không sở hữu, CertiK tuyên bố.
Nhà điều tra blockchain Spreek cũng cảnh báo người dùng về việc khai thác trên X, nói rằng nó đại diện cho một “lỗ hổng nghiêm trọng”.
Spreek gợi ý rằng người dùng nên thu hồi phê duyệt các địa chỉ được sử dụng trong quá trình khai thác.
Theo nhà nghiên cứu bảo mật ddimitrov22, Seneca đang mắc phải một lỗ hổng bổ sung khiến các nhà phát triển không thể tạm dừng các hợp đồng Seneca, vì chức năng tạm dừng và hủy tạm dừng trong chúng chứa từ khóa “nội bộ”, có nghĩa là “không có cách nào để gọi chúng”.
The Seneca protocol is hacked and it cannot be paused even though it inherits the Pausable library.
This is because the `_pause` and `_unpause` functions are internal and there is no way to call them. pic.twitter.com/en0qIsayMX
— ddimitrov22 (@ddimitrovv22) February 28, 2024
Trong bài đăng thừa nhận cuộc tấn công, nhóm phát triển tuyên bố rằng họ đang tiến hành một cuộc điều tra và sẽ đăng bản cập nhật “trong thời gian ngắn”.
Các vụ hack và khai thác tiếp tục đe dọa người dùng Web3 vào năm 2024. Vào ngày 23 tháng 2, người đồng sáng lập Axie Infinity Jeff “Jihoz” Zirlin đã mất 9.7 triệu USD sau một vụ hack ví cá nhân của mình.
Cùng ngày, giao thức DeFi Blueberry đã bị khai thác với giá 457 ETH.
Tin Tức Bitcoin tổng hợp.
