时间:2024-03-03|浏览:271
正如 2 月 28 日在该协议官方 X 账户上发布的声明所述,去中心化金融 (DeFi) 借贷平台和稳定币发行商 Seneca Protocol 已成为利用的受害者。
根据 Cointelegraph 披露的一份报告,区块链分析公司 CertiK 估计迄今为止的损失为 640 万美元。
Seneca 团队敦促用户撤销对受影响合同的批准,并声称其人员“目前正在与安全专家合作调查该漏洞”。
Seneca Protocol 是一款 DeFi 借贷应用程序,用户可以存入各种加密货币作为抵押品,然后可用于铸造和借用该协议的原生稳定币 SenecaUSD。
区块链数据显示,一个以 42DC 结尾的账户通过调用“performOperations”函数,成功从 Seneca 抵押品池中转移了约 1,385.23 Pendleton Kelp 重新抵押的以太币(PT Kelp rsETH)。
随后,该账户通过三笔交易将这些代币兑换成价值约 400 万美元的以太币(ETH)。
在这些互换之后,该账户继续从各个抵押品池中转移额外的 717.04 ETH 衍生代币,并将其兑换为 ETH。
根据 CertiK 的报告,由于协议的“performOperations”功能存在缺陷,这些传输被恶意执行。
该错误允许任何帐户在指定 OPERATION_CALL 作为要执行的操作时调用该函数。
因此,攻击者获得了“对任何地址执行外部调用,因为被调用者和 callData 完全由攻击者控制”的能力。
了解更多:Overdare 与 Circle 合作,为游戏创作者集成 Web3 钱包和 USDC 支付
因此,CertiK 认为,攻击者设法从不属于其所有权的抵押品池中抽走资金。
区块链调查员 Spreek 还提醒用户注意 X 上的漏洞,并将其描述为“严重漏洞”。
Spreek 建议用户撤销对该漏洞利用地址的批准。
据安全研究人员 ddimitrov22 称,Seneca 还存在一个额外的漏洞,导致开发人员无法暂停 Seneca 合约,因为其中的暂停和取消暂停功能被标记为“内部”,导致它们无法访问。
开发团队在确认此次攻击时表示,他们目前正在进行调查,并将“很快”提供最新情况。
到 2024 年,黑客和漏洞利用将继续对 Web3 用户构成威胁。
2 月 23 日,Axie Infinity 联合创始人 Jeff “Jihoz” Zirlin 由于个人钱包被盗而损失了 970 万美元。
与此同时,同一天,DeFi 协议 Blueberry 被利用了 457 ETH。
阅读今天最新的加密货币新闻
用戶喜愛的交易所
已有账号登陆后会弹出下载