Небезпека механізму схвалення токенів Ethereum

Уразливість протоколу Seneca підкреслює небезпеку механізму схвалення токенів Ethereum

Програма управління криптовалютою Seneca Protocol була використана в середу для крадіжки коштів безпосередньо з гаманців користувачів. Втрати вже перевищили 3 мільйони доларів на мережах Ethereum та Arbitrum.

Seneca - це децентралізований фінансовий проект DeFi, який дозволяє користувачам кредитувати стейблкоїн senUSD на основі активів, що приносять дохід, таких як депозитні токени та токени ліквідного стейкінгу (LST).

Підозрілі транзакції були привернуті уваги криптоспільноти псевдонімним користувачем X (колишній користувач Twitter) Spreek.

Читати далі: Ethereum ліквідний стейкінг готується до виведення 12 квітня

Дослідник з кібербезпеки Деніел фон Фаньге виявив уразливість у коді Seneca, додаючи, що його видалили з Discord проекту, де команда видалила посилання на уразу.

Інший користувач, що під псевдонімом `cawfree` на X, стверджує, що попередив проект щодо цієї самої проблеми в листопаді, перш ніж його заблокували від Seneca. Конкурс аудиту також був скасований в листопаді, за п`ять днів до запуску.

За даними безпечної фірми Peckshield, вказані контракти не можуть бути призупинені, залишаючи самим користувачам відповідальність за відкликання схвалень токенів на зазначені адреси.

Ми активно співпрацюємо зекспертами з кібербезпеки для розслідування виявленої сьогодні вразливості.

Між тим, ВИДАЛІТЬ схвалення для наступних адрес:

Ethereum PT-ezETH 0x529eBB6D157dFE5AE2AA7199a6f9E0e9830E6Dc1 apxETH 0xD837321Fc7fabA9af2f37EFFA08d4973A9BaCe34… — Seneca (@SenecaUSD) 28 лютого 2024р.

Що таке схвалення токенів?

На відміну від звичайних користувачів адрес Ethereum, адреси смарт-контрактів не можуть ініціювати трансфери самі.

Це означає, що будь-який користувач, який хоче обміняти токени через децентралізовану біржу (DEX) чи депозитувати кошти в певні платформи DeFi, повинен спочатку надати схвалення контракту, відповідального за ці операції. Це дозволяє контракту витрачати токени безпосередньо з гаманця користувача, до визначеного ліміту.

Однак неудобні інтерфейси користувача, високі комісії за газ та повторні візити означають, що багато користувачів часто не спішать видавати обмежені схвалення, вибираючи надавати необмежені схвалення, ніж проходити процес для кожного взаємодії.

Як показує сьогоднішній день, ця ситуація відкрита для зловмисників, які змагаються у маніпулюванні контрактів, щоб надсилати будь-які попередньо затверджені токени з гаманців користувачів безпосередньо до зловмисників.

В одному особливо коштовному випадку, користувачі Badger DAO (включаючи випущеного великого кредитора криптовалюти Celsius) втратили 120 мільйонів доларів, коли веб-сайт платформи був взламано для «збору» схвалень токенів від користувачів протягом 12 днів.

Запропоноване рішення для стандартного механізму схвалення токенів, що використовується провідною DEX Uniswap, ґрунтується на підписах permit2 для обробки схвалень. Проте permit2 не без своїх недоліків, оскільки додаткова складність ускладнює для користувачів розуміння того, що вони підписують.

Шахрайи-фішери можуть скористатися цим фактом для крадіжки криптовалюти, навіть від тих, хто намагається відкликати свої схвалення.