Seneca повернула 80% коштів після того, як протокол стейблкоїнів зазнав злому на $6,4 млн.

Хакер, який атакував протокол Seneca, повернув токени Ethereum на $5,3 млн після виведення $6,4 млн з мереж Ethereum та Arbitrum. Первісне розслідування виявило, що використовувався баг у механізмах затвердження смартконтракту протоколу.

Протокол стейблкоїнів підтвердив співпрацю з правоохоронними органами, але вирішив залишити без юридичних наслідків зломника, якщо той поверне 80% вкрадених коштів, а 20% залишить собі як винагороду.

Порушення виникли через недолік у коді смартконтракту під назвою «performOperations» у протоколі Seneca. Ця функція, доступна для зовнішніх викликів, не мала належної перевірки вхідних даних.

Недолік у перевірці вхідних даних є серйозною помилкою при розробці смартконтрактів. З використанням цієї помилки зловмисник створив дані для виклику умов, що дозволило йому взаємодіяти з будь-яким контрактом у блокчейні, використовуючи довільні дані.

Seneca підтвердила, що 80% коштів було успішно повернено, зазначивши, що атака переважно була націлена на активи, збережені у гаманцях користувачів. Власні кошти Seneca безпосередньо не були порушені.

Компанія також зазначила, що розгорнутий код пройшов аудит, і всі виправлення, запропоновані аудиторською компанією, були впроваджені. Однак аудит не може гарантувати абсолютну безпеку, і тому Seneca планує продовжувати співпрацювати з аудиторською компанією для підтримки безпеки контракту.