稳定币协议 Seneca 向利用该协议智能合约中的审批机制漏洞获得至少 640 万美元数字资产的利用者提供 20% 的赏金。
2 月 28 日,多家区块链安全公司举报了稳定币协议上的漏洞。
CertiK 等公司就该漏洞向用户发出警告,敦促他们撤销对以太坊和 Arbitrum 网络地址的批准。
最初估计损失为 300 万美元,但后来发现,超过 1,900 个以太坊 (ETH) 被盗,价值约 640 万美元。
Seneca 攻击者的钱包显示约 300 万美元的以太币。
资料来源:CertiK
CertiK 的安全分析师解释说,该漏洞的发生是由于该协议的智能合约中存在严重的“调用”漏洞。
该漏洞允许攻击者对任意地址进行外部调用。
此外,该项目的合同没有可以让团队对其进行“暂停”的代码。
因此,用户必须撤销权限。
相关: 随着剥削者耗尽以太坊质押合约,Shido 代币暴跌 94%
Seneca 团队表示,他们目前正在与专家合作调查发生的事情。
该团队还悬赏 120 万美元,要求归还被盗资金。
在 2 月 29 日的链上消息中,Seneca 团队要求黑客将被盗资金的 80% 返还至以太坊地址,允许黑客保留 20%。
Seneca 团队向攻击者发送的链上消息。
资料来源:塞内卡
Seneca 团队在消息中表示,他们正在与安全提供商和执法部门合作追踪资金。
该团队敦促黑客归还资金,以避免承担法律后果。
他们写道:“迅速采取行动至关重要,因此我们恳请您尽快归还资金,以避免任何进一步的法律诉讼。”
在团队发出消息几小时后,黑客将约 1,537 ETH(价值约 530 万美元)返还至 Seneca 团队指定的钱包地址。
漏洞利用者保留了 300 ETH,价值约 100 万美元,表明漏洞利用者接受了团队提供的 20% 赏金。
然后,攻击者将 ETH 转移到两个不同的地址。
杂志: DeFi 价值数十亿美元的秘密:对黑客负责的内部人士
