O protocolo de stablecoin Seneca sofreu um exploit significativo, resultando na perda de mais de US$ 6 milhões em Ethereum e na rede Arbitrum. O ataque foi rastreado até uma falha nos mecanismos de aprovação de contratos inteligentes do protocolo, permitindo que um invasor desconhecido desviasse fundos.
We are seeing an exploit on @SenecaUSD
Exploiter has stolen at least ~$3m worth of assets
All users should revoke the following addresses
0xbc83f2711d0749d7454e4a9d53d8594df0377c05
0x2d99e1116e73110b88c468189aa6af8bb4675ec9 pic.twitter.com/iVhDhGwUc8
— CertiK Alert (@CertiKAlert) February 28, 2024
Analistas de segurança da Blocksec identificaram a causa raiz do ataque como um problema de ‘chamada arbitrária’ nos contratos inteligentes do Seneca, que permitiu ao atacante realizar transferências não autorizadas de tokens do contrato do projeto para endereços externos controlados por eles.
We are actively working with security specialists to investigate the approval bug found today.
In the meantime, REVOKE approvals for the following addresses:#Ethereum
PT-ezETH 0x529eBB6D157dFE5AE2AA7199a6f9E0e9830E6Dc1
apxETH 0xD837321Fc7fabA9af2f37EFFA08d4973A9BaCe34…
— Seneca (@SenecaUSD) February 28, 2024
A equipe do Seneca reconheceu o incidente e instou os usuários a revogar as permissões previamente concedidas para evitar transações não autorizadas adicionais.
Recuperação e retorno dos fundos
Em uma reviravolta positiva, o hacker responsável pelo exploit do Seneca devolveu mais de US$ 5 milhões ao projeto após aceitar uma recompensa de 20%.
O Seneca havia oferecido uma recompensa de 20% ao explorador que acessou pelo menos US$ 6,4 milhões em ativos digitais após explorar uma vulnerabilidade no mecanismo de aprovação do contrato inteligente do protocolo.
#PeckShieldAlert @SenecaUSD hacker-labeled address has returned 1,537 $ETH (worth ~$5.3m) to #Seneca: Deployer address & transferred 300 $ETH (~$1.04m) to 2 new addresses pic.twitter.com/hNOFMr1aTk
— PeckShieldAlert (@PeckShieldAlert) February 29, 2024
Após a oferta de recompensa, o hacker retornou cerca de 1.537 ETH, avaliados em cerca de US$ 5,3 milhões, para o endereço da carteira especificado pelo Seneca, mantendo 300 ETH, no valor de cerca de US$ 1 milhão, como parte da recompensa.
Implicações e lições aprendidas
Este incidente destaca a importância da segurança dos contratos inteligentes e a eficácia das recompensas de bug como um meio de recuperar fundos perdidos em exploits.
A rápida resposta do Seneca e a disposição do hacker em devolver a maior parte dos fundos roubados, embora mantendo uma parte significativa como recompensa, demonstram um desfecho relativamente positivo para um evento que poderia ter tido consequências muito mais graves.
O exploit e a subsequente recuperação dos fundos servem como um lembrete crítico para projetos de finanças descentralizadas (DeFi) sobre a necessidade de rigorosas auditorias de segurança e mecanismos de resposta a incidentes para proteger os ativos dos usuários.
