Ένα σφάλμα στην πλατφόρμα δανεισμού κρυπτονομισμάτων Seneca Protocol έγινε αντικείμενο εκμετάλλευσης την Τετάρτη για την κλοπή κεφαλαίων απευθείας από τα πορτοφόλια των χρηστών. Οι απώλειες μέχρι στιγμής ξεπερνούν τα 3 εκατομμύρια δολάρια στα δίκτυα Ethereum και Arbitrum.
Το Seneca είναι ένα έργο αποκεντρωμένης χρηματοδότησης (DeFi) που επιτρέπει στους χρήστες να δανείζονται το stablecoin senUSD έναντι περιουσιακών στοιχείων που φέρουν απόδοση, όπως μάρκες καταθέσεων και μάρκες πονταρίσματος υγρών (LST).
Οι ύποπτες συναλλαγές τέθηκαν υπόψη της κοινότητας κρυπτογράφησης από τον ψευδώνυμο χρήστη X (πρώην Twitter) Spreek.
Διαβάστε περισσότερα: Σιδεράκια υγρού πονταρίσματος Ethereum για αναλήψεις στις 12 Απριλίου
Ο ερευνητής ασφάλειας κρυπτογράφησης Daniel Von Fange προσδιορίζονται το σφάλμα στον κώδικα του Σενέκα, προσθέτοντας ότι αφαιρέθηκε από το Discord του έργου όπου η ομάδα διέγραφε αναφορές στο exploit.
Ένας άλλος χρήστης, που πηγαίνει "cawfree" στο X, αξιώσεις να είχε προειδοποιήσει το έργο για αυτό ακριβώς το θέμα τον Νοέμβριο, πριν μπλοκαριστεί από τον Σενέκα. Έγινε επίσης διαγωνισμός ελέγχου εγκαταλείφθηκε τον Νοέμβριο, πέντε ημέρες πριν από την κυκλοφορία.
Σύμφωνα με την εταιρεία ασφαλείας Περικάρπιο, οι εν λόγω συμβάσεις δεν μπορούν να τεθούν σε παύση, αφήνοντας τους ίδιους τους χρήστες υπεύθυνους για την ανάκληση των εγκρίσεων διακριτικών στις επηρεαζόμενες διευθύνσεις.
Τι είναι οι συμβολικές εγκρίσεις;
Σε αντίθεση με τις διευθύνσεις Ethereum των τακτικών χρηστών, οι διευθύνσεις έξυπνων συμβολαίων δεν μπορούν να ξεκινήσουν μόνες τους μεταφορές.
Αυτό σημαίνει ότι κάθε χρήστης που επιθυμεί να ανταλλάξει διακριτικά μέσω αποκεντρωμένου ανταλλακτηρίου (DEX) ή να καταθέσει κεφάλαια σε ορισμένες πλατφόρμες DeFi πρέπει πρώτα να εγκρίνει τη σύμβαση που είναι υπεύθυνη για αυτές τις λειτουργίες. Αυτό επιτρέπει στο συμβόλαιο να ξοδεύει μάρκες απευθείας από το πορτοφόλι του χρήστη, μέχρι ένα καθορισμένο όριο.
Ωστόσο, οι βαριές διεπαφές χρήστη, οι υψηλές χρεώσεις αερίου και οι επαναλαμβανόμενες επισκέψεις σημαίνουν ότι πολλοί χρήστες τείνουν να επιλέγουν χορήγηση απεριόριστων εγκρίσεων αντί να περάσουν από τη διαδικασία για κάθε αλληλεπίδραση.
Όπως δείχνει σήμερα, αυτή η κατάσταση είναι ώριμη για εκμετάλλευση από χάκερ που καταφέρνουν να χειραγωγήσουν τα συμβόλαια για να στείλουν τυχόν προεγκεκριμένα token από τα πορτοφόλια των χρηστών απευθείας στους ίδιους τους χάκερ.
Σε ένα ιδιαίτερα δαπανηρό περιστατικό, οι χρήστες του Badger DAO (συμπεριλαμβανομένου του ντροπιασμένου δανειστή κρυπτογράφησης Celsius) έχασαν 120 εκατομμύρια δολάρια όταν ο ιστότοπος της πλατφόρμας παραβιάστηκε για να «συλλέξει» εγκρίσεις διακριτικών από χρήστες σε διάστημα 12 ημερών.
Διαβάστε περισσότερα: Οι Mashinsky χρησιμοποίησαν τον Κελσίου για να προωθήσουν το Strong blockchain — και παρόλα αυτά απέτυχε
Μια προτεινόμενη λύση στον τυπικό μηχανισμό έγκρισης διακριτικών, που χρησιμοποιείται από την κορυφαία DEX Uniswap, βασίζεται σε υπογραφές permit2 για τη διαχείριση των εγκρίσεων. Ωστόσο, το permit2 δεν είναι χωρίς μειονεκτήματα, καθώς η πρόσθετη πολυπλοκότητα καθιστούν δύσκολο για τους χρήστες να καταλάβουν τι υπογράφουν.
Οι απατεώνες phishing μπορούν να εκμεταλλευτούν αυτό το γεγονός κλοπή crypto, ακόμη και από αυτούς που επιχειρούν να ανακαλέσουν τις εγκρίσεις τους.
Έχετε μια συμβουλή; Στείλτε μας ένα email ή ProtonMail. Για περισσότερα ενημερωμένα νέα, ακολουθήστε μας X, Instagram, Γαλάζιος ουρανός, να ειδήσεις Googleή εγγραφείτε στο YouTube κανάλι.
Πηγή: https://protos.com/seneca-protocol-hack-highlights-dangers-of-ethereums-token-approval-mechanism/