Een bug in het crypto-leenplatform Seneca Protocol werd woensdag uitgebuit om geld rechtstreeks uit de portemonnee van gebruikers te stelen. De verliezen op de Ethereum- en Arbitrum-netwerken bedragen tot nu toe meer dan $3 miljoen.
Seneca is een gedecentraliseerd financieringsproject (DeFi) waarmee gebruikers de stablecoin senUSD kunnen lenen tegen rendementdragende activa zoals stortingstokens en liquid staking tokens (LST's).
De verdachte transacties werden onder de aandacht van de cryptogemeenschap gebracht door pseudoniem X (voorheen Twitter)-gebruiker Spreek.
Lees meer: Ethereum-beugels voor vloeibare staking voor opnames op 12 april
Crypto-beveiligingsonderzoeker Daniel Von Fange geïdentificeerd de bug in de code van Seneca, eraan toevoegend dat hij uit de Discord van het project was verwijderd Het team verwijderde verwijzingen naar de exploit.
Een andere gebruiker, die op X 'cawfree' heet, vorderingen om het project in november voor dit exacte probleem te hebben gewaarschuwd, voordat het door Seneca werd geblokkeerd. Er was ook een auditwedstrijd verlaten in november, vijf dagen voor de lancering.
Volgens beveiligingsbedrijf Peckschild, kunnen de contracten in kwestie niet worden gepauzeerd, waardoor de gebruikers zelf verantwoordelijk zijn voor het intrekken van tokengoedkeuringen voor de getroffen adressen.
Wat zijn tokengoedkeuringen?
In tegenstelling tot de Ethereum-adressen van gewone gebruikers, kunnen slimme contractadressen niet zelf overdrachten initiëren.
Dit betekent dat elke gebruiker die tokens wil ruilen via een gedecentraliseerde beurs (DEX) of geld wil storten op bepaalde DeFi-platforms, eerst goedkeuring moet verlenen aan het contract dat verantwoordelijk is voor deze operaties. Hierdoor kan het contract tokens rechtstreeks uit de portemonnee van de gebruiker uitgeven, tot een bepaalde limiet.
Echter, onhandige gebruikersinterfaces, hoge gaskosten en herhaalde bezoeken zorgen er echter voor dat veel gebruikers vaak voor kiezen het verlenen van onbeperkte goedkeuringen in plaats van het proces voor elke interactie te doorlopen.
Zoals vandaag blijkt, is deze situatie rijp voor misbruik door hackers die erin slagen contracten te manipuleren door vooraf goedgekeurde tokens uit de portemonnee van gebruikers rechtstreeks naar de hackers zelf te sturen.
Bij een bijzonder kostbaar incident verloren Badger DAO-gebruikers (waaronder de in ongenade gevallen cryptogeldverstrekker Celsius) $120 miljoen toen de website van het platform werd gehackt om gedurende een periode van twaalf dagen tokengoedkeuringen van gebruikers te 'oogsten'.
Lees meer: De Mashinsky’s gebruikten Celsius om Strong blockchain te promoten – en het faalde nog steeds
Een voorgestelde oplossing voor het standaard tokengoedkeuringsmechanisme, gebruikt door toonaangevende DEX Uniswap, is gebaseerd op permit2-handtekeningen om goedkeuringen af te handelen. permit2 is echter niet zonder nadelen, zoals de extra complexiteit maken het moeilijk voor gebruikers om te begrijpen wat ze ondertekenen.
Phishing-oplichters kunnen hiervan profiteren stelen crypto, zelfs van degenen die proberen hun goedkeuringen in te trekken.
Heb je een tip? Stuur ons een e-mail of ProtonMail. Volg ons op voor meer geïnformeerd nieuws X, Instagram, Bluesky en Google Nieuws, of abonneer u op onze YouTube kanaal.
Bron: https://protos.com/seneca-protocol-hack-highlights-dangers-of-ethereums-token-approval-mechanism/