هکر Seneca Protocol پس از تخلیه 5.3 میلیون دلار در شبکه های اتریوم و آربیتروم، 6.4 میلیون دلار توکن اتر را پس داده است. بررسی های اولیه حاکی از آن بود که یک اشکال مکانیزم تایید در قرارداد هوشمند پروتکل مورد سوء استفاده قرار گرفته است.

پروتکل استیبل کوین اخیراً تماس با مجریان قانون را تأیید کرده بود، اما با ارائه نرم‌افزار، اظهار داشت که اگر هکر 80 درصد وجوه را برگرداند و 20 درصد را به عنوان پاداش نگه دارد، تیم اقدامات قانونی را انجام نخواهد داد.

هکر سنکا 80 درصد از وجوه دزدیده شده را برمی گرداند

آسیب پذیری ساقه دار از تابعی در کد قرارداد هوشمند پروتکل سنکا به نام "performOperations". این تابع که برای تماس‌های خارجی باز است، فاقد اعتبار کافی برای ورودی‌هایش است.

عدم وجود اعتبار سنجی ورودی یک نظارت مهم در توسعه قراردادهای هوشمند است. مهاجم با بهره‌برداری از این نقص، داده‌های خاصی را برای ایجاد شرایط ایجاد کرد و آنها را قادر می‌سازد تا هر قراردادی را با داده‌های دلخواه روی بلاک چین اعمال کنند.

این قابلیت به مهاجم اجازه دسترسی نامحدود برای تعامل با قراردادهای دیگر را می دهد و به عنوان قراردادهای آسیب پذیر ظاهر می شود. در نتیجه، مهاجم اقدام به انتقال دارایی‌ها از آدرس‌های مجاز به قراردادهایی کرد که اکنون به خطر افتاده است.

محقق امنیت رمزنگاری دانیل فون فانج کشف این نقص و ظاهراً از سرور Discord پروژه اخراج شد، جایی که تیم در حال حذف ذکرهای مربوط به سوء استفاده بود.

با توجه به جدیدترین پک شیلد به روز رسانی، بهره بردار 1,537 اتریوم را به آدرس Seneca ارسال کرد که آدرس اصلی متصل به اکسپلویت است. هکر 300 ETH به ارزش تقریبی 1 میلیون دلار را حفظ کرد و 20٪ پاداش ارائه شده توسط Seneca را دریافت کرد. متعاقبا، ETH را به دو آدرس جداگانه منتقل کردند.

پروتکل سنکا در 28 فوریه دچار نقض گسترده ای شد که منجر به SEN توکن اصلی آن شد که 80 درصد ضرر را در یک روز افزایش داد. در ابتدا، ضرر و زیان حدود 3 میلیون تخمین زده شد، اما تحقیقات بیشتر نشان داد که بیش از 1,900 اتر به ارزش حدود 6.4 میلیون دلار در این اکسپلویت به سرقت رفته است.

بعداً سنکا الف بیانیه که در حال همکاری با کارشناسان برای بررسی این سوء استفاده است. این پروتکل سپس یک جایزه 1.2 میلیون دلاری برای بازیابی وجوه دزدیده شده اعلام کرد.

تایید سنکا

سنکا تایید شده در یک به روز رسانی رسمی در روز چهارشنبه که 80 درصد از وجوه با موفقیت بازگردانده شده است. گفته می‌شود که این اکسپلویت عمدتاً دارایی‌های نگهداری شده در کیف پول کاربران را هدف قرار می‌دهد و روشن می‌کند که سرمایه‌های شخصی Seneca مستقیماً تحت تأثیر قرار نگرفته است.

در عوض، این اکسپلویت بر دارایی های کاربر خارجی در اکوسیستم سنکا متمرکز شد.

«کد اتاق استقرار شده دقیقاً همان چیزی است که مورد ممیزی قرار گرفته است، به جز اصلاحاتی که به صراحت توسط شرکت حسابرسی پیشنهاد شده و به روش‌های دقیق ذکر شده اجرا شده است. حسابرسی به هیچ وجه تضمینی برای ایمنی مطلق نیست، اما شایان ذکر است که سنکا به منظور تضمین قرارداد اتاق کار با یک شرکت حسابرسی بزرگ را انتخاب کرد.