L'hacker del protocollo Seneca ha restituito token Ether per un valore di 5,3 milioni di dollari dopo aver drenato 6,4 milioni di dollari sulle reti Ethereum e Arbitrum. Le indagini iniziali suggerivano che fosse stato sfruttato un bug nel meccanismo di approvazione del contratto intelligente del protocollo.
Il protocollo della stablecoin aveva recentemente confermato il coinvolgimento delle forze dell'ordine, ma ha offerto clemenza, affermando che il team non avrebbe intrapreso azioni legali se l'hacker avesse restituito l'80% dei fondi, trattenendo il 20% come ricompensa.
Seneca Hacker restituisce l'80% dei fondi rubati
La vulnerabilità derivava da una funzione nel codice del contratto intelligente del protocollo Seneca chiamata "performOperations". Questa funzione, aperta alle chiamate esterne, mancava di un'adeguata convalida dei suoi input.
L’assenza di convalida degli input è una supervisione fondamentale nello sviluppo del contratto intelligente. Sfruttando questa falla, l'aggressore ha creato dati specifici per attivare condizioni, consentendogli di invocare qualsiasi contratto sulla blockchain con dati arbitrari.
Questa capacità garantisce all’aggressore accesso illimitato per interagire con altri contratti, mascherati da vulnerabili. Di conseguenza, l’aggressore ha provveduto a trasferire beni dagli indirizzi autorizzati ai contratti ormai compromessi.
Il ricercatore sulla sicurezza crittografica Daniel Von Fange ha scoperto la falla ed è stato presumibilmente espulso dal server Discord del progetto, dove il team stava rimuovendo i riferimenti all'exploit.
Secondo l'ultimo aggiornamento di Peck Shield, l'exploiter ha inviato 1.537 Ethereum a un indirizzo Seneca, che è l'indirizzo principale collegato all'exploit. L'hacker ha trattenuto 300 ETH, per un valore di circa 1 milione di dollari, e ha ricevuto la ricompensa del 20% offerta da Seneca. Successivamente hanno trasferito gli ETH su due indirizzi separati.
Il protocollo Seneca ha subito una massiccia violazione il 28 febbraio che ha portato il suo token nativo SEN a estendere le perdite dell'80% in un giorno. Inizialmente, le perdite erano stimate intorno ai 3 milioni, ma ulteriori indagini hanno rivelato che durante l'exploit sono stati rubati oltre 1.900 Ether, per un valore di circa 6,4 milioni di dollari.
Successivamente, Seneca ha rilasciato una dichiarazione in cui afferma che sta collaborando con esperti per indagare sull'exploit. Il protocollo ha poi annunciato una ricompensa di 1,2 milioni di dollari per il recupero dei fondi rubati.
La Cresima di Seneca
Mercoledì Seneca ha confermato in un aggiornamento ufficiale che l’80% dei fondi è stato restituito con successo. Ha affermato che l'exploit ha preso di mira principalmente i beni detenuti nei portafogli degli utenti, chiarendo che i fondi propri di Seneca non sono stati direttamente colpiti.
Invece, l’exploit si è concentrato sulle risorse degli utenti esterni all’interno dell’ecosistema Seneca.
“Il codice camerale adottato è identico a quello sottoposto all'audit, salvo alcuni accorgimenti esplicitamente suggeriti dalla società di revisione e attuati nelle modalità puntuali indicate. Una verifica non è in alcun modo una garanzia di sicurezza assoluta, ma vale la pena notare che Seneca ha scelto di collaborare con un’importante società di revisione proprio allo scopo di assicurarsi il contratto con la Camera”.
Il post Seneca recupera l'80% dei fondi dopo un exploit da 6,4 milioni di dollari è apparso per la prima volta su CryptoPotato .