Mercoledì è stato sfruttato un bug nella piattaforma di prestito crittografico Seneca Protocol per rubare fondi direttamente dai portafogli degli utenti. Le perdite finora superano i 3 milioni di dollari sulle reti Ethereum e Arbitrum.
Seneca è un progetto di finanza decentralizzata (DeFi) che consente agli utenti di prendere in prestito la stablecoin senUSD a fronte di asset fruttiferi come token di deposito e token di staking liquido (LST).
Le transazioni sospette sono state portate all'attenzione della comunità crittografica dall'utente Spreek con lo pseudonimo di X (ex Twitter).
Per saperne di più: Lo staking liquido di Ethereum si prepara ai prelievi del 12 aprile
Il ricercatore sulla sicurezza crittografica Daniel Von Fange identificato il bug nel codice di Seneca, aggiungendo che è stato rimosso dal progetto Discord dove il team stava cancellando i riferimenti all'exploit.
Un altro utente, che utilizza 'cawfree' su X, di aver avvertito il progetto proprio di questo problema in novembre, prima di essere bloccato da Seneca. È stato anche organizzato un concorso di audit abbandonato a novembre, cinque giorni prima del lancio.
Secondo la ditta di sicurezza Scudo, i contratti in questione non possono essere messi in pausa, lasciando agli utenti stessi la responsabilità di revocare le approvazioni dei token agli indirizzi interessati.
Cosa sono le approvazioni dei token?
A differenza degli indirizzi Ethereum degli utenti regolari, gli indirizzi smart contract non sono in grado di avviare trasferimenti da soli.
Ciò significa che qualsiasi utente che desideri scambiare token tramite un exchange decentralizzato (DEX) o depositare fondi su determinate piattaforme DeFi deve prima approvare il contratto incaricato di queste operazioni. Ciò consente al contratto di spendere token direttamente dal portafoglio dell'utente, fino a un limite definito.
Tuttavia, interfacce utente goffe, tariffe elevate per il gas e visite ripetute fanno sì che molti utenti tendano a optare per concedere approvazioni illimitate piuttosto che seguire il processo per ogni interazione.
Come dimostra oggi, questa situazione è matura per lo sfruttamento da parte degli hacker che riescono a manipolare i contratti per inviare eventuali token pre-approvati dai portafogli degli utenti direttamente agli hacker stessi.
In un incidente particolarmente costoso, gli utenti di Badger DAO (incluso il disgraziato prestatore di criptovalute Celsius) hanno perso 120 milioni di dollari quando il sito web della piattaforma è stato violato per "raccogliere" le approvazioni dei token da parte degli utenti per un periodo di 12 giorni.
Per saperne di più: I Mashinsky hanno utilizzato Celsius per promuovere la blockchain Strong, ma il risultato è stato comunque un fallimento
Una soluzione proposta al meccanismo di approvazione dei token standard, utilizzato dal principale DEX Uniswap, si basa sulle firme consent2 per gestire le approvazioni. Tuttavia, permesso2 non è privo di inconvenienti, come la maggiore complessità rendere difficile per gli utenti capire cosa stanno firmando.
I truffatori di phishing sono in grado di trarre vantaggio da questo fatto rubare crypto, anche da coloro che tentano di revocare le loro approvazioni.
Hai una mancia? Inviaci un'e-mail o ProtonMail. Per notizie più informate, seguici su X, Instagram, Cielo blue Google Newso iscriviti al nostro YouTube .
Fonte: https://protos.com/seneca-protocol-hack-highlights-dangers-of-ethereums-token-approval-mechanism/