La plataforma de préstamos y emisión de stablecoins de finanzas descentralizadas (DeFi), Seneca Protocol, ha sido vulnerada, según un comunicado del 28 de febrero en la cuenta oficial de X del protocolo. En un informe visto por Noticias Blockchain, la firma de análisis blockchain, CertiK, estimó las pérdidas hasta ahora en USD 6.4 millones. El equipo de Seneca instó a los usuarios a revocar las aprobaciones para los contratos afectados. Su personalized «actualmente está trabajando con especialistas en seguridad para investigar el mistake», afirmaron.
We are actively functioning with protection professionals to examine the approval bug discovered now.
In the meantime, REVOKE approvals for the next addresses:#Ethereum
PT-ezETH 0x529eBB6D157dFE5AE2AA7199a6f9E0e9830E6Dc1
apxETH 0xD837321Fc7fabA9af2f37EFFA08d4973A9BaCe34…— Seneca (@SenecaUSD) February 28, 2024
Seneca Protocol es una aplicación de préstamos DeFi que permite a los usuarios depositar diversas criptomonedas como garantía, las cuales luego pueden usarse para acuñar y pedir prestada la stablecoin nativa del protocolo, SenecaUSD.
Datos de la cadena de bloques muestran que una cuenta que termina en 42DC pudo transferir aproximadamente 1,385.23 Pendleton Kelp restaked Ether (PT Kelp rsETH) de un pool de garantías de Seneca, lo cual logró llamando a la función «performOperations». Posteriormente, la cuenta convirtió estos tokens por aproximadamente USD 4 millones en Ether (ETH) a lo largo de tres transacciones. Después de estos movimientos, la cuenta transfirió 717,04 tokens derivados de ETH de varios pools de garantías y los cambió por ETH.
En su informe, CertiK afirmó que estas transferencias fueron maliciosas. Fueron posibles debido a que el protocolo tiene un defecto en su función «performOperations», según indica el informe. El mistake permite que cualquier cuenta llame a la función especificando Operation_Phone como la acción a realizar. Esto permite que el atacante «realice llamadas externas a cualquier dirección, pues el destinatario y los datos de llamada están completamente controlados por el atacante». Como resultado, el atacante pudo drenar fondos del pool de garantías que no le pertenecía, afirma CertiK.
El investigador de blockchain Spreek también advirtió a los usuarios sobre el exploit en X, indicando que representaba una «vulnerabilidad crítica». Spreek sugirió que los usuarios deberían revocar las aprobaciones de las direcciones utilizadas en el exploit.
Según el investigador de seguridad ddimitrov22, Seneca sufre de una vulnerabilidad adicional que impide a los desarrolladores pausar los contratos inteligentes, pues las funciones de pausa y reanudación en ellos contienen la palabra clave «inside», lo que significa que «no hay forma de llamarlos».
The Seneca protocol is hacked and it can not be paused even nevertheless it inherits the Pausable library.
This is because the `_pause` and `_unpause` capabilities are inner and there is no way to simply call them. pic.twitter.com/en0qIsayMX
— ddimitrov22 (@ddimitrovv22) February 28, 2024
En su publicación reconociendo el ataque, el equipo de desarrollo declaró que están llevando a cabo una investigación y publicarán una actualización «pronto».
Los hacks y exploits continúan amenazando a los usuarios World-wide-web3 en 2024. El 23 de febrero, Jeff «Jihoz» Zirlin, cofundador de Axie Infinity, perdió USD 9.7 millones debido a un hackeo de sus billeteras personales. El mismo día, el protocolo DeFi Blueberry fue vulnerado por 457 ETH.
Aclaración: La información y/u opiniones emitidas en este artículo no representan necesariamente los puntos de vista o la línea editorial de Noticias Blockchain. La información aquí expuesta no debe ser tomada como consejo financiero o recomendación de inversión. Toda inversión y movimiento comercial implican riesgos y es responsabilidad de cada persona hacer su debida investigación antes de tomar una decisión de inversión.
Las inversiones en criptoactivos no están reguladas. Es posible que no sean apropiados para inversores minoristas y que se pierda el monto whole invertido. Los servicios o productos ofrecidos no están dirigidos ni son accesibles a inversores en España.