Хак у Seneca: уязвимость механизма утверждения токенов Ethereum

Хак протокола Seneca подчеркивает опасности механизма утверждения токенов Ethereum

На криптовалютной платформе по предоставлению займов Seneca Protocol в среду была использована уязвимость для кражи средств непосредственно из кошельков пользователей. Убытки на данный момент превышают $3 миллиона на сетях Ethereum и Arbitrum.

Seneca - это децентрализованный проект финансов (DeFi), который позволяет пользователям занимать стабильную монету senUSD под обеспечение активами, приносящими доход, такими как депозитные токены и жидкие токены стейкинга (LST).

Подозрительные транзакции привлекли внимание криптосообщества псевдонимным пользователем X (ранее Twitter) Spreek.

Похоже, у протокола Seneca есть критическая уязвимость одобрения (внешний вызов). Уже потеряно более $3 миллионов на eth/arb.

Исследователь по криптобезопасности Даниэль Вон Фанге выявил уязвимость в коде Seneca, добавив, что его удалили из дискорд-сервера проекта, где команда удаляла ссылки на уязвимость.

Еще один пользователь, под псевдонимом `cawfree` на X, утверждает, что предупреждал проект об этой проблеме в ноябре, прежде чем его заблокировал Seneca. Контрольная проверка также была отменена в ноябре, за пять дней до запуска.

Согласно компании по безопасности Peckshield, контракты, которые затронуты, не могут быть приостановлены, поэтому сами пользователи должны отозвать разрешения на токены к затронутым адресам.

Что такое утверждения токенов?

В отличие от обычных адресов пользователей Ethereum, смарт-контракты не могут инициировать переводы самостоятельно.

Это означает, что любой пользователь, желающий обменять токены через децентрализованную биржу (DEX) или внести средства на определенные платформы DeFi, должен предварительно предоставить разрешение контракту, ответственному за эти операции. Это позволяет контракту тратить токены непосредственно из кошелька пользователя, до определенного предела.

Однако громоздкие пользовательские интерфейсы, высокие комиссии за газ и повторные посещения означают, что многие пользователи склонны предоставлять неограниченные разрешения, а не проходить процесс для каждого взаимодействия.

Как показывает сегодняшний день, эта ситуация благоприятна для эксплуатации хакерами, которым удается манипулировать контрактами для отправки любых предварительно одобренных токенов из кошельков пользователей непосредственно себе.

В одном особенно дорогостоящем инциденте пользователи Badger DAO (включая позорного крипто-кредитора Celsius) потеряли $120 миллионов, когда веб-сайт платформы был взломан для `сбора` утверждений токенов от пользователей за 12 дней.

Предложенное решение стандартного механизма утверждения токенов, используемое ведущей DEX Uniswap, основывается на подписях permit2 для обработки утверждений. Однако permit2 не без своих недостатков, так как добавленная сложность затрудняет пользователям понять, что они подписывают.

Мошенники-фишеры могут воспользоваться этим фактом для кражи криптовалюты, даже от тех, кто пытается отозвать свои утверждения.