O eroare a platformei de creditare cripto Seneca Protocol a fost exploatată miercuri pentru a fura fonduri direct din portofelele utilizatorilor. Pierderile depășesc până acum 3 milioane de dolari pe rețelele Ethereum și Arbitrum.
Seneca este un proiect de finanțare descentralizată (DeFi) care permite utilizatorilor să împrumute stablecoin senUSD împotriva activelor purtătoare de randament, cum ar fi jetoanele de depozit și jetoanele lichide de miză (LST).
Tranzacțiile suspecte au fost aduse în atenția comunității cripto de către utilizatorul pseudonim X (fostul Twitter) Spreek.
Citește mai mult: Staking lichid Ethereum se apropie de retragerile din 12 aprilie
Cercetatorul de securitate cripto Daniel Von Fange identificat bug-ul din codul lui Seneca, adăugând că a fost eliminat din Discord al proiectului unde echipa ștergea referințe la exploit.
Un alt utilizator, care trece prin „cawfree” pe X, creanțe să fi avertizat proiectul exact despre această problemă în noiembrie, înainte de a fi blocat de Seneca. A fost și un concurs de audit abandonat în noiembrie, cu cinci zile înainte de lansare.
Potrivit firmei de securitate Peckshield, contractele în cauză nu pot fi întrerupte, lăsând utilizatorii înșiși responsabili pentru revocarea aprobărilor token-urilor către adresele afectate.
Ce sunt aprobările jetonelor?
Spre deosebire de adresele Ethereum ale utilizatorilor obișnuiți, adresele de contracte inteligente nu pot iniția transferuri pe cont propriu.
Aceasta înseamnă că orice utilizator care dorește să schimbe jetoane printr-un schimb descentralizat (DEX) sau să depună fonduri în anumite platforme DeFi trebuie să acorde mai întâi aprobarea contractului responsabil cu aceste operațiuni. Acest lucru permite contractului să cheltuiască jetoane direct din portofelul utilizatorului, până la o limită definită.
Cu toate acestea, interfețele de utilizator greoaie, taxele mari de gaz și vizitele repetate înseamnă că mulți utilizatori tind să opteze pentru acordarea de aprobări nelimitate mai degrabă decât să treacă prin procesul pentru fiecare interacțiune.
După cum arată astăzi, această situație este pregătită pentru exploatare de către hackeri care reușesc să manipuleze contractele pentru a trimite orice token-uri preaprobate din portofelele utilizatorilor direct către hackeri înșiși.
Într-un incident deosebit de costisitor, utilizatorii Badger DAO (inclusiv împrumutătorul de criptomonede Celsius, dezamăgit) au pierdut 120 de milioane de dolari atunci când site-ul web al platformei a fost spart pentru a „recolta” aprobări de token de la utilizatori pe o perioadă de 12 zile.
Citește mai mult: Soții Mashinsky au folosit Celsius pentru a promova Strong blockchain - și totuși a eșuat
O soluție propusă pentru mecanismul standard de aprobare a simbolurilor, utilizată de liderul DEX Uniswap, se bazează pe semnăturile permis2 pentru a gestiona aprobările. Cu toate acestea, permis2 nu este lipsit de dezavantaje, ca și complexitatea adăugată îngreunează utilizatorilor să înțeleagă ceea ce semnează.
Escrocii de tip phishing pot profita de acest fapt pentru fura cripto, chiar și de la cei care încearcă să-și revoce aprobările.
Ai un pont? Trimite-ne un e-mail sau ProtonMail. Pentru știri mai informate, urmăriți-ne pe X, Instagram, Bluesky, și Știri Google, sau abonați-vă la YouTube canal.
Sursa: https://protos.com/seneca-protocol-hack-highlights-dangers-of-ethereums-token-approval-mechanism/