Протокол стейблкоїнів Seneca зазнав злому через вразливість смартконтракту

Протокол стейблкоїнів Seneca зазнав злому, що призвів до втрати понад $6 млн у мережах Ethereum та Arbitrum.

Вразливість була пов’язана з проблемою в механізмах затвердження смартконтрактів протоколу, яку використовували зловмисники для перенаправлення коштів.

Аналітики з безпеки Blocksec визначили першопричину злому як «проблему довільного виклику» в смартконтрактах Seneca.

У контрактах проєкту не було коду, який дозволяв би команді поставити його на паузу — замість цього користувачам довелося відкликати дозволи. Повідомляється, що викрадені активи становлять понад 1 900 ETH ($6 млн).

Ця вразливість дозволила зловмиснику здійснити несанкціоновані перекази токенів з контракту проєкту на зовнішню адресу, контрольовану зловмисником.

«Першопричиною була проблема довільного виклику, тому схвалення вразливого контракту можуть бути передані назовні», — розповів технічний директор Blocksec Лей Ву в інтерв’ю The Block.

Команда Seneca визнала інцидент і закликала користувачів відкликати раніше надані дозволи, щоб запобігти подальшим несанкціонованим транзакціям.

Seneca — це децентралізований фінансовий проєкт, який дозволяє користувачам карбувати та позичати свій стейблкоїн, senUSD, під заставу інших криптоактивів — механізм стейблкоїнів, який також називають забезпеченою борговою позицією.

Після злому токен Seneca подешевшав більш ніж на 60% — з приблизно $0,1 до менш ніж $0,04.

Нагадаємо, у лютому криптоігрова платформа PlayDapp втратила токени на 290 мільйонів доларів через два зломи.