2 月28 日,Seneca 穩定幣協議遭到攻擊,導致以太坊和Arbitrum 網路損失超過600 萬美元。事實證明,一名未知攻擊者利用了智能合約審批機制中的一個錯誤,導致資金被轉移。儘管透過漏洞獲得了大約600 萬美元的ETH,但駭客在收到賞金後已返還了80% 的資金。
為什麼會發生塞內卡漏洞?
CertiK 和其他公司就該漏洞向用戶發出警報,建議他們撤銷與以太坊和Arbitrum 網路上特定地址相關的批准。最初估計損失為100 萬,後來損失超過1,900 以太幣,價值約640 萬美元。
Blocksec 的安全分析師表示,此外洩源自於Seneca 智能合約中的「任意呼叫問題」。 Seneca 的合約沒有暫停功能,因此使用者必須撤銷權限。
透過利用此缺陷,攻擊者能夠將未經授權的代幣轉移到外部地址。 Blocksec 首席技術長吳磊解釋說:“根本原因是任意調用問題,導致批准轉移到易受攻擊的合約上。”
塞內卡懸賞120 萬美元,要求歸還被竊資金。在2 月29 日發布的鏈上消息中,Seneca 提議駭客將80% 的被盜資金返還至以太坊地址,並允許他們保留剩餘的20%。
追回了多少?
事件發生後,Seneca團隊表示他們知道這件事。他們告訴用戶取消先前授予的任何權限,以阻止更多未經授權的交易發生。
我們正在積極與安全專家合作,調查今天發現的審批錯誤。
同時,撤銷對以下地址的批准:#Ethereum
PT-ezETH 0x529eBB6D157dFE5AE2AA7199a6f9E0e9830E6Dc1
apxETH 0xD837321Fc7fabA9af2f37EFFA08d4973A9BaCe34…
— 塞內卡(@SenecaUSD) 2024 年2 月28 日
漏洞發生後,Seneca 代幣暴跌超過60%,從約0.1 美元暴跌至0.04 美元以下。目前,SEN 交易價格為0.04428 美元,較前一日大幅下跌46.27%。
塞內卡保證說,他們正在與安全公司和執法機構合作追蹤資金。為了避免法律後果,肇事者被懇求歸還錢。他們強調:“必須迅速採取行動,因此我們懇請立即歸還資金,以防止進一步的法律措施。”
Seneca 宣布這一消息後不久,駭客將約1,537 ETH(價值約530 萬美元)返還至指定的錢包地址。剝削者保留了300 ETH,相當於約100 萬美元,並接受了Seneca 的20% 獎金。隨後,攻擊者將ETH 轉移到兩個不同的位址。
資訊來源:由0x資訊編譯自TODAYQ。版權歸作者Sagarika Chatterjee所有,未經許可,不得轉載
