数字货币网报道:
周三,加密借贷平台Seneca Protocol中的一个漏洞被利用,直接从用户的钱包中窃取资金。迄今为止,以太坊和Arbitrum网络的损失超过300万美元。
Seneca是一个去中心化金融(DeFi)项目,允许用户借用稳定币senUSD作为有收益的资产,如存款代币和流动性质押代币(LST)。
这些可疑交易是由化名X(前推特)用户斯普里克引起加密社区注意的。
阅读更多:4月12日提款的以太坊液体赌注准备
加密安全研究员Daniel Von Fange在Seneca的代码中发现了这个漏洞,并补充说,他被从该项目的Discord中删除,该团队正在删除对该漏洞的引用。
另一位在X上被称为“cawfree”的用户声称,在被Seneca屏蔽之前,他曾在11月警告过该项目这一确切问题。11月,也就是启动前五天,一场审计竞赛也被取消。
根据安全公司Peckshield的说法,有问题的合同无法暂停,用户自己负责撤销对受影响地址的代币批准。
什么是代币审批?
与普通用户的以太坊地址不同,智能合约地址无法自行发起转账。
这意味着,任何希望通过去中心化交易所(DEX)交换代币或将资金存入某些DeFi平台的用户都必须首先批准负责这些操作的合同。这允许合同直接从用户的钱包中支出代币,最高可达定义的限额。
然而,笨重的用户界面、高昂的加油费和重复访问意味着许多用户倾向于选择无限期批准,而不是通过每次交互的流程。
正如今天所示,黑客利用这种情况的时机已经成熟,他们设法操纵合同,将任何预先批准的代币从用户钱包直接发送给黑客自己。
在一个代价特别高昂的事件中,Badger DAO用户(包括名誉扫地的加密货币贷款人Celsius)在12天内被黑客入侵以“获取”用户的代币批准,损失了1.2亿美元。
阅读更多:Mashinsky利用Celsius推广Strong区块链,但仍然失败了
领先的DEX Uniswap使用的标准代币审批机制的拟议解决方案依赖于permit2签名来处理审批。然而,permit2并非没有缺点,因为增加的复杂性使用户很难理解他们在签名什么。
网络钓鱼骗子能够利用这一事实窃取加密货币,甚至是从那些试图撤销其批准的人那里窃取。
有线索吗?给我们发一封电子邮件或质子邮件。欲了解更多信息,请在X、Instagram、Bluesky和谷歌新闻上关注我们,或订阅我们的YouTube频道。
编辑:web3528btc 来源:加密钱包代币
