En feil i kryptoutlånsplattformen Seneca Protocol ble utnyttet onsdag for å stjele midler direkte fra brukernes lommebøker. Tap så langt overstiger $3 millioner på Ethereum- og Arbitrum-nettverkene.
Seneca er et desentralisert finansprosjekt (DeFi) som lar brukere låne stablecoin senUSD mot avkastningsbærende eiendeler som innskuddssymboler og flytende staking-tokens (LSTs).
De mistenkelige transaksjonene ble gjort oppmerksom på kryptosamfunnet av den pseudonyme X (tidligere Twitter) brukeren Spreek.
Les mer: Ethereum flytende bukseseler for uttak fra 12. april
Kryptosikkerhetsforsker Daniel Von Fange identifisert feilen i Senecas kode, og la til at han ble fjernet fra prosjektets Discord where teamet slettet referanser til utnyttelsen.
En annen bruker, går av "cawfree" på X, krav å ha advart prosjektet om akkurat denne saken i november, før de ble blokkert av Seneca. Det var også en revisjonskonkurranse forlatt i november, fem dager før lansering.
I følge sikkerhetsfirmaet Peckshield, kan ikke de aktuelle kontraktene settes på pause, noe som gjør brukerne selv ansvarlige for å tilbakekalle token-godkjenninger til de berørte adressene.
Hva er token-godkjenninger?
I motsetning til vanlige brukeres Ethereum-adresser, kan ikke smarte kontraktsadresser starte overføringer på egen hånd.
Dette betyr at enhver bruker som ønsker å bytte tokens via en desentralisert børs (DEX) eller sette inn midler til visse DeFi-plattformer først må gi godkjenning til kontrakten som er ansvarlig for disse operasjonene. Dette gjør at kontrakten kan bruke tokens direkte ut av brukerens lommebok, opp til en definert grense.
Klumpete brukergrensesnitt, høye gassavgifter og gjentatte besøk betyr imidlertid at mange brukere har en tendens til å velge gi ubegrensede godkjenninger i stedet for å gå gjennom prosessen for hver interaksjon.
Som i dag viser, er denne situasjonen moden for utnyttelse av hackere som klarer å manipulere kontrakter til å sende forhåndsgodkjente tokens fra brukernes lommebøker direkte til hackerne selv.
I en spesielt kostbar hendelse tapte Badger DAO-brukere (inkludert skamfulle kryptoutlåner Celsius) $120 millioner da plattformens nettsted ble hacket for å "høste" token-godkjenninger fra brukere over en periode på 12 dager.
Les mer: Mashinskyene brukte Celsius for å promotere Strong blockchain - og det mislyktes fortsatt
En foreslått løsning på standard token-godkjenningsmekanismen, brukt av ledende DEX Uniswap, er avhengig av permit2-signaturer for å håndtere godkjenninger. Imidlertid er permit2 ikke uten sine ulemper, som den ekstra kompleksiteten gjøre det vanskelig for brukere å forstå hva de signerer.
Phishing-svindlere er i stand til å dra nytte av dette faktum til stjele krypto, selv fra de som forsøker å tilbakekalle godkjenningene sine.
Har du et tips? Send oss en e-post eller ProtonMail. For mer informerte nyheter, følg oss videre X, Instagram, Blueskyog Google Nyheter, eller abonner på vår YouTube kanal.
Kilde: https://protos.com/seneca-protocol-hack-highlights-dangers-of-ethereums-token-approval-mechanism/