El protocolo de préstamo DeFi, Seneca Protocol, experimentó un grave revés luego de un exploit que aprovechó su función «performOperations». Según un comunicado del 28 de febrero en la cuenta oficial de X del protocolo, más de USD 6 millones en garantías fueron sustraídos. CertiK, una firma de análisis blockchain, estimó las pérdidas en USD 6.4 millones. El equipo de Seneca ha instado a los usuarios a revocar las aprobaciones para los contratos afectados y está colaborando con expertos en seguridad para abordar el problema.
We continue investigating the exploit and proactively reaching out to third parties for support.
Security always comes first for Seneca, that's why we chose @HalbornSecurity for the audit of the Chambers contract and adhered to best practices for oracle management.
The exploit…
— Seneca (@SenecaUSD) February 28, 2024
Seneca Protocol golpeado por un Hackeo de USD 6.4 millones
El atacante, utilizando una cuenta que termina en 42DC, pudo transferir aproximadamente 1,385.23 Pendleton Kelp restaked Ether (PT Kelp rsETH) de un pool de garantías de Seneca, convirtiéndolos por cerca de USD 4 millones en Ether (ETH).
Luego, transfirió y cambió 717.04 tokens derivados de ETH de varios pools de garantías por ETH. CertiK señala que el exploit se basó en un defecto en la función «performOperations», lo que permitió que el atacante drenara fondos del pool de garantías no autorizado.
Respuestas y recomendaciones
Los investigadores y expertos en seguridad, como Spreek y ddimitrov22, han alertado a los usuarios sobre la gravedad del exploit y han instado a revocar las aprobaciones de las direcciones utilizadas en el ataque.
Seneca Protocol ha reconocido el incidente y está realizando una investigación exhaustiva para abordar las vulnerabilidades. Se espera que publiquen una actualización pronto para fortalecer la seguridad del protocolo.
Contexto
Este ataque se suma a una serie de incidentes recientes que han afectado a proyectos en el espacio Web3. El cofundador de Axie Infinity, Jeff «Jihoz» Zirlin, perdió USD 9.7 millones debido a un hackeo de sus billeteras personales el 23 de febrero, el mismo día en que el protocolo DeFi Blueberry fue vulnerado por 457 ETH. Estos eventos subrayan la continua amenaza que representan los hacks y exploits en el ecosistema DeFi en 2024.
Solucionando el problema
El pasado 29 de febrero, la propia empresa, desde su cuenta de X, anunciaba que el 80% de los fondos sustraídos ya habían sido devueltos.
We're happy to see 80% of funds have been returned.
Transaction link: https://t.co/VzqCvt24pF
The exploit involved assets held in users' wallets. The exploit didn't involve funds directly deposited into Seneca (Seneca's TVL).
The recovery of funds through a whitehat request…
— Seneca (@SenecaUSD) February 29, 2024
