Kemaskini 29 Feb, 10:17 UTC: Artikel ini telah dikemaskini untuk menambah komen daripada Joe Green CertiK.
Protokol stablecoin Seneca telah menawarkan ganjaran sebanyak 20% kepada penceroboh yang telah mendapat akses kepada sekurang-kurangnya $6.4 juta dalam aset digital selepas mengeksploitasi kecacatan mekanisme kelulusan dalam kontrak pintar protokol tersebut.
Pada 28 Feb, beberapa firma keselamatan blockchain melaporkan pengeksploitasi dalam protokol stablecoin tersebut. Syarikat seperti CertiK telah memberi amaran kepada pengguna mengenai pengeksploitasi tersebut dan menggesa mereka untuk mencabut kelulusan daripada alamat dalam rangkaian Ethereum dan Arbitrum. Anggaran awal kerugian adalah sebanyak $3 juta, tetapi kemudian didapati lebih daripada 1,900 Ether (ETH), bernilai kira-kira $6.4 juta, telah diambil daripada pengeksploitasi tersebut.
Penganalisis keselamatan di CertiK menjelaskan bahawa pengeksploitasi berlaku disebabkan oleh kelemahan "panggilan" yang kritikal dalam kontrak pintar protokol tersebut. Joe Green, ketua pasukan tindak balas pantas CertiK, memberitahu Cointelegraph bahawa kelemahan ini membolehkan penceroboh melakukan panggilan luaran kepada mana-mana alamat. Green menjelaskan:
Dalam insiden ini, seorang penceroboh dapat melakukan panggilan luaran sewenang-wenangnya untuk memindahkan aset daripada alamat yang telah memberikan kelulusan kepada kontrak yang rentan terus kepada diri mereka sendiri.
Green menambah bahawa pengajaran penting daripada insiden ini adalah untuk memberi perhatian kepada sebarang panggilan luaran, terutamanya ketika mengemaskini kontrak. Ini bermakna walaupun kontrak itu mungkin selamat semasa pelaksanaannya, ia boleh rosak dalam beberapa keadaan. "A mempercayai B; B mempercayai C; C mempercayai D, tetapi peningkatan baru mungkin rosak apabila A tidak sepatutnya mempercayai D," kongsi Green.
Berkaitan: Token Shido merosot 94% apabila penceroboh menguras kontrak staking Ethereum
Seneca berkata ia sedang bekerjasama dengan pakar untuk menyiasat apa yang berlaku. Ia juga menawarkan ganjaran sebanyak $1.2 juta bagi pemulangan dana yang dicuri. Dalam mesej di atas rangkaian pada 29 Feb, Seneca meminta penceroboh untuk memulangkan 80% daripada dana yang dicuri ke alamat Ethereum, sambil membenarkan penceroboh memegang 20%.
Dalam mesej tersebut, Seneca berkata ia sedang bekerjasama dengan penyedia keselamatan dan pihak berkuasa untuk menjejaki dana tersebut. Ia menggesa penceroboh untuk memulangkan dana tersebut bagi mengelakkan tindakan undang-undang. "Tindakan segera adalah penting, jadi kami dengan hormat meminta anda untuk memulangkan dana tersebut secepat mungkin bagi mengelakkan sebarang tindakan undang-undang lanjut," tulisnya.
Beberapa jam selepas mesej Seneca, penceroboh memulangkan kira-kira 1,537 ETH, bernilai kira-kira $5.3 juta, ke alamat dompet yang ditetapkan oleh Seneca. Penceroboh memegang 300 ETH, bernilai kira-kira $1 juta, dan menerima ganjaran 20% yang ditawarkan oleh Seneca. Penceroboh kemudian memindahkan ETH tersebut ke dua alamat yang berbeza.
Majalah: Rahsia berbilion dolar DeFi: Insiders yang bertanggungjawab terhadap pengeksploitasi
