En fejl i krypto-udlånsplatformen Seneca Protocol blev onsdag udnyttet til at stjæle penge direkte fra brugernes tegnebøger. Tabene overstiger indtil videre $3 millioner på Ethereum- og Arbitrum-netværkene.
Seneca er et decentraliseret finansprojekt (DeFi), der giver brugerne mulighed for at låne stablecoin-senUSD mod afkastbærende aktiver såsom indskudstokens og likvide staking-tokens (LST'er).
De mistænkelige transaktioner blev gjort opmærksom på kryptofællesskabet af den pseudonyme X (tidligere Twitter) bruger Spreek.
Læs mere: Ethereum flydende indsatsbøjler til udbetalinger den 12. april
Kryptosikkerhedsforsker Daniel Von Fange identificeret fejlen i Senecas kode og tilføjede, at han blev fjernet fra projektets Discord where holdet slettede referencer til udnyttelsen.
En anden bruger, der går ved 'cawfree' på X, fordringer at have advaret projektet om netop dette spørgsmål i november, før det blev blokeret af Seneca. Der var også en revisionskonkurrence forladte i november, fem dage før lanceringen.
Ifølge sikkerhedsfirmaet Peckshield, kan de pågældende kontrakter ikke sættes på pause, hvilket efterlader brugerne selv ansvarlige for at tilbagekalde token-godkendelser til de berørte adresser.
Hvad er token-godkendelser?
I modsætning til almindelige brugeres Ethereum-adresser er smarte kontraktadresser ikke i stand til at starte overførsler på egen hånd.
Dette betyder, at enhver bruger, der ønsker at bytte tokens via en decentral udveksling (DEX) eller indbetale midler til visse DeFi-platforme, først skal godkende den kontrakt, der er ansvarlig for disse operationer. Dette giver kontrakten mulighed for at bruge tokens direkte ud af brugerens tegnebog, op til en defineret grænse.
Men klodsede brugergrænseflader, høje gasgebyrer og gentagne besøg betyder, at mange brugere har en tendens til at vælge at give ubegrænsede godkendelser i stedet for at gennemgå processen for hver interaktion.
Som i dag viser, er denne situation moden til udnyttelse af hackere, der formår at manipulere kontrakter til at sende eventuelle forhåndsgodkendte tokens fra brugernes tegnebøger direkte til hackerne selv.
I en særlig kostbar hændelse mistede Badger DAO-brugere (inklusive den skæmmede kryptoudlåner Celsius) $120 millioner, da platformens hjemmeside blev hacket for at 'høste' token-godkendelser fra brugere over en periode på 12 dage.
Læs mere: Mashinskyerne brugte Celsius til at promovere Strong blockchain - og det mislykkedes stadig
En foreslået løsning til standard token-godkendelsesmekanismen, der bruges af førende DEX Uniswap, er afhængig af permit2-signaturer til at håndtere godkendelser. Tilladelse2 er dog ikke uden sine ulemper, da den ekstra kompleksitet gøre det svært for brugerne at forstå, hvad de skriver under på.
Phishing-svindlere er i stand til at drage fordel af dette faktum stjæle krypto, selv fra dem, der forsøger at tilbagekalde deres godkendelser.
Har du et tip? Send os en e-mail eller ProtonMail. For mere informerede nyheder, følg os på X, Instagram, blueskyog Google Nyheder, eller abonner på vores YouTube kanal.
Kilde: https://protos.com/seneca-protocol-hack-highlights-dangers-of-ethereums-token-approval-mechanism/