Het stablecoin-protocol Seneca is in het nieuws gekomen nadat het aangekondigd heeft een premie van 20% te bieden aan een exploitant die erin slaagde om toegang te krijgen tot ten minste $6,4 miljoen aan digitale activa. Dit gebeurde door misbruik te maken van een fout in het goedkeuringsmechanisme van het slimme contract van het protocol.
De exploit werd op 28 februari ontdekt, toen meerdere blockchain-beveiligingsbedrijven, waaronder CertiK, alarm sloegen over de kwetsbaarheid in het protocol. Deze bedrijven waarschuwden gebruikers en adviseerden hen om goedkeuringen van adressen op de Ethereum- en Arbitrum-netwerken in te trekken. Aanvankelijk werd geschat dat er een verlies van $3 miljoen was, maar later bleek dat er meer dan 1.900 Ethereum, ter waarde van ongeveer $6,4 miljoen, was ontvreemd.
Volgens beveiligingsanalisten van CertiK was de exploit mogelijk vanwege een kritieke ‘call’-kwetsbaarheid in het slimme contract, die externe oproepen naar elk adres toeliet. Een ander probleem was dat de contracten van het project geen pauze-functie bevatten, wat betekent dat gebruikers nu hun machtigingen moeten intrekken.
In een poging het gestolen geld terug te krijgen, heeft Seneca een premie van $1,2 miljoen aangeboden voor de teruggave ervan. Op 29 februari deed Seneca via een on-chain bericht een oproep aan de hacker om 80% van het gestolen bedrag terug te sturen naar een specifiek Ethereum-adres, waarmee de hacker 20% mocht houden als premie.
Seneca benadrukte ook dat het samenwerkt met beveiligingsbedrijven en wetshandhavingsinstanties om de gestolen fondsen te traceren. Het bedrijf drong er bij de hacker op aan het geld terug te geven om juridische gevolgen te voorkomen en benadrukte het belang van snel handelen om verdere juridische stappen te vermijden.
Uren na dit bericht heeft de hacker ongeveer 1.537 ETH, ter waarde van ongeveer $5,3 miljoen, teruggestuurd naar het door Seneca opgegeven portemonnee-adres. De hacker behield 300 ETH, ter waarde van ongeveer $1 miljoen, en accepteerde daarmee de aangeboden premie van 20%. Vervolgens heeft de exploitant de resterende ETH overgedragen naar twee verschillende adressen, waarmee een deel van de gestolen fondsen succesvol is teruggewonnen.
Op advies van de oplichter opende het slachtoffer een account op een beleggingsplatform dat achteraf nep bleek te zijn.
De oorzaak van de aanval lag volgens beveiligingsbedrijf Cyvers in meerdere fouten binnen een aangepaste RFQ-swapproxy van TrustedVolumes.
De zaak kan belangrijke gevolgen hebben voor de manier waarop crypto-exchanges omgaan met gestolen tegoeden.
Hormuz is negen weken dicht en een miljard vaten olie zijn al weg. Handelaren waarschuwen voor rantsoenering, dieseltekort en wereldwijde recessie.
MSC laat zijn grote containerschepen de Straat van Hormuz mijden door in Jeddah te lossen. Vrachtwagens overbruggen vervolgens 1.300 kilometer over land.
Eerst min 10 procent, nu in de plus: olieprijs reageert direct op WSJ-bericht dat Iran het Hormuz-voorstel afwijst.
