Pepijat dalam platform pinjaman kripto Seneca Protocol telah dieksploitasi pada hari Rabu untuk mencuri dana terus daripada dompet pengguna. Kerugian setakat ini melebihi $3 juta pada rangkaian Ethereum dan Arbitrum.
Seneca ialah projek kewangan terdesentralisasi (DeFi) yang membolehkan pengguna meminjam stablecoin senUSD terhadap aset yang mempunyai hasil seperti token deposit dan token pertaruhan cecair (LST).
Transaksi yang mencurigakan telah dibawa ke perhatian komuniti crypto oleh pengguna X (dahulunya Twitter) Spreek yang bernama samaran.
Baca lebih lanjut: Pendakap staking cecair Ethereum untuk pengeluaran 12 April
Penyelidik keselamatan kripto Daniel Von Fange dikenalpasti pepijat dalam kod Seneca, sambil menambah bahawa dia telah dialih keluar daripada Discord projek di mana pasukan itu sedang memadamkan rujukan kepada eksploitasi itu.
Pengguna lain, menggunakan 'cawfree' pada X, tuntutan telah memberi amaran kepada projek isu tepat ini pada bulan November, sebelum disekat oleh Seneca. Pertandingan audit juga terbengkalai pada bulan November, lima hari sebelum pelancaran.
Menurut firma keselamatan Perlindungan Pecks, kontrak yang dipersoalkan tidak dapat dijeda, menyebabkan pengguna sendiri bertanggungjawab untuk membatalkan kelulusan token kepada alamat yang terlibat.
Apakah kelulusan token?
Tidak seperti alamat Ethereum pengguna biasa, alamat kontrak pintar tidak dapat memulakan pemindahan sendiri.
Ini bermakna mana-mana pengguna yang ingin menukar token melalui pertukaran terdesentralisasi (DEX) atau mendeposit dana ke dalam platform DeFi tertentu mesti terlebih dahulu memberikan kelulusan kepada kontrak yang bertanggungjawab ke atas operasi ini. Ini membolehkan kontrak membelanjakan token terus daripada dompet pengguna, sehingga had yang ditetapkan.
Walau bagaimanapun, antara muka pengguna yang kikuk, bayaran gas yang tinggi dan lawatan berulang bermakna ramai pengguna cenderung untuk memilih memberikan kelulusan tanpa had daripada melalui proses untuk setiap interaksi.
Seperti yang ditunjukkan hari ini, keadaan ini sudah matang untuk dieksploitasi oleh penggodam yang berjaya memanipulasi kontrak untuk menghantar sebarang token yang telah diluluskan daripada dompet pengguna terus kepada penggodam itu sendiri.
Dalam satu insiden yang sangat mahal, pengguna Badger DAO (termasuk pemberi pinjaman kripto yang memalukan Celsius) kerugian $120 juta apabila tapak web platform itu digodam untuk 'menuai' kelulusan token daripada pengguna dalam tempoh 12 hari.
Baca lebih lanjut: Mashinskys menggunakan Celsius untuk mempromosikan blockchain Strong — dan ia masih gagal
Penyelesaian yang dicadangkan kepada mekanisme kelulusan token standard, yang digunakan oleh DEX Uniswap terkemuka, bergantung pada tandatangan permit2 untuk mengendalikan kelulusan. Walau bagaimanapun, permit2 bukan tanpa kelemahannya, sebagai kerumitan tambahan menyukarkan pengguna untuk memahami perkara yang mereka tandatangani.
Penipu pancingan data dapat memanfaatkan fakta ini untuk mencuri crypto, walaupun daripada mereka yang cuba membatalkan kelulusan mereka.
Ada tip? Hantarkan e-mel atau ProtonMail kepada kami. Untuk berita lebih lanjut, ikuti kami di X, Instagram, Langit biru, dan berita Google, atau melanggan kami Youtube saluran.
Sumber: https://protos.com/seneca-protocol-hack-highlights-dangers-of-ethereums-token-approval-mechanism/