Giao thức stablecoin Seneca bị hack 6 triệu USD do lỗ hổng hợp đồng thông minh

Giao thức Stablecoin Seneca đã bị khai thác, dẫn đến thiệt hại hơn 6 triệu USD trên mạng Ethereum và Arbitrum. Nguyên nhân của vụ vi phạm được xác định là một lỗ hổng trong cơ chế phê duyệt hợp đồng thông minh của giao thức, cho phép kẻ tấn công thực hiện chuyển mã thông báo trái phép từ hợp đồng của dự án sang địa chỉ bên ngoài do kẻ tấn công kiểm soát.

We are actively working with security specialists to investigate the approval bug found today.

In the meantime, REVOKE approvals for the following addresses:#Ethereum
PT-ezETH 0x529eBB6D157dFE5AE2AA7199a6f9E0e9830E6Dc1
apxETH 0xD837321Fc7fabA9af2f37EFFA08d4973A9BaCe34…

— Seneca (@SenecaUSD) February 28, 2024

Các nhà phân tích bảo mật từ Blocksec đã xác định rằng vấn đề cốt lõi của vụ vi phạm là "vấn đề lệnh gọi tùy ý" trong hợp đồng thông minh của Seneca. Hợp đồng của dự án không có mã có thể cho phép nhóm tạm dừng dự án một cách tạm thời, và người dùng phải thu hồi quyền. Khoản tài sản bị đánh cắp được báo cáo là hơn 1.900 ETH (khoảng 6 triệu USD).

.@SenecaUSD was exploited, with total losses of ~$6 million. The root cause was an arbitrary call issue,.
Users should regularly check their approvals and stay vigilant!
Here is one of the exploit tx:https://t.co/vVUGIjqiaa https://t.co/UkEnGjJw5p

— BlockSec Phalcon (@Phalcon_xyz) February 29, 2024

CTO của Blocksec, Lei Wu cho biết nguyên nhân cốt lõi là do vấn đề cuộc gọi tùy tiện, do đó việc phê duyệt hợp đồng dễ bị tổn thương có thể bị chuyển đi.

Sau vụ vi phạm này, nhóm Seneca đã thừa nhận sự cố và kêu gọi người dùng thu hồi các quyền đã cấp trước đó nhằm nỗ lực ngăn chặn các giao dịch trái phép tiếp theo. Seneca là một dự án tài chính phi tập trung cho phép người dùng đúc và vay stablecoin, senUSD, so với các tài sản tiền điện tử khác, với một cơ chế stablecoin còn được gọi là vị thế nợ thế chấp.