目錄

• 塞內(nèi)卡黑客歸還 80% 被盜資金

• 塞內(nèi)卡的確認(rèn)

Seneca Protocol 黑客在以太坊和 Arbitrum 網(wǎng)絡(luò)上損失了 640 萬美元后，已歸還價(jià)值 530 萬美元的以太幣。

初步調(diào)查表明，協(xié)議智能合約中的審批機(jī)制錯(cuò)誤被利用。

該穩(wěn)定幣協(xié)議最近確認(rèn)與執(zhí)法部門合作，但表示寬大處理，表示如果黑客返還 80% 的資金，并保留 20% 作為獎(jiǎng)勵(lì)，該團(tuán)隊(duì)將不會(huì)采取法律措施。

塞內(nèi)卡黑客歸還 80% 被盜資金

該漏洞源于 Seneca 協(xié)議智能合約代碼中名為“performOperations”的函數(shù)。

該函數(shù)向外部調(diào)用開放，但對(duì)其輸入缺乏足夠的驗(yàn)證。

缺乏輸入驗(yàn)證是智能合約開發(fā)中的一個(gè)關(guān)鍵監(jiān)督。

利用此缺陷，攻擊者制作特定數(shù)據(jù)來觸發(fā)條件，使他們能夠使用任意數(shù)據(jù)調(diào)用區(qū)塊鏈上的任何合約。

此功能使攻擊者能夠不受限制地與其他合約進(jìn)行交互，偽裝成易受攻擊的合約。

結(jié)果，攻擊者繼續(xù)將資產(chǎn)從授權(quán)地址轉(zhuǎn)移到現(xiàn)已受損的合約中。

加密安全研究員 Daniel Von Fange 發(fā)現(xiàn)了該漏洞，并據(jù)稱被從該項(xiàng)目的 Discord 服務(wù)器中驅(qū)逐，該團(tuán)隊(duì)正在刪除對(duì)該漏洞的提及。

根據(jù) Peck Shield 的最新更新，漏洞利用者向 Seneca 地址發(fā)送了 1,537 個(gè)以太坊，該地址是與漏洞利用相關(guān)的主要地址。

黑客保留了 300 ETH，價(jià)值約 100 萬美元，并獲得了 Seneca 提供的 20% 獎(jiǎng)勵(lì)。

隨后，他們將 ETH 轉(zhuǎn)移到兩個(gè)不同的地址。

Seneca Protocol 于 2 月 28 日遭遇大規(guī)模泄露，導(dǎo)致其原生代幣 SEN 在一天內(nèi)損失了 80%。

最初估計(jì)損失約為 300 萬美元，但進(jìn)一步調(diào)查顯示，超過 1,900 個(gè)以太幣（價(jià)值約 640 萬美元）在該漏洞中被盜。

隨后，Seneca 發(fā)表聲明稱，正在與專家合作調(diào)查該漏洞。

該協(xié)議隨后宣布懸賞 120 萬美元，以追回被盜資金。

塞內(nèi)卡的確認(rèn)

Seneca 在周三的官方更新中證實(shí)，80% 的資金已成功歸還。

該公司表示，該漏洞主要針對(duì)用戶錢包中的資產(chǎn)，并澄清 Seneca 自己的資金并未直接受到影響。

相反，該漏洞利用主要針對(duì) Seneca 生態(tài)系統(tǒng)內(nèi)的外部用戶資產(chǎn)。

“部署的商會(huì)代碼與經(jīng)過審計(jì)的代碼完全相同，除了審計(jì)公司明確建議并以指定的精確方式實(shí)施的修復(fù)之外。

審計(jì)絕不是絕對(duì)安全的保證，但值得注意的是，Seneca 選擇與一家大型審計(jì)公司合作正是為了確保商會(huì)合同?！?/p>

這篇文章 Seneca 在 640 萬美元的漏洞利用后收回了 80% 的資金，首先出現(xiàn)在 CryptoPotato 上。