Seneca Protocol, la aplicación de préstamos para finanzas descentralizadas (DeFi), fue víctima de un exploit que generó pérdidas millonarias en criptomonedas, pero el ofrecimiento de pagar una fianza por su liberación, logró que el atacante devolviera la mayoría de los fondos.
Contenido:
Se dispara la alerta en X
En horas de la mañana del día de ayer, Spreek, un investigador de la cadena de bloques, publicó en su perfil de X que, al parecer, el protocolo Seneca estaba experimentando un exploit de aprobación crítico:
En la publicación, el analista incluyó dos capturas de pantalla donde se observaron los movimientos posiblemente fraudulentos que, en ese momento, acumulaban más de $3 millones en retiros.
Pronunciación de Seneca Protocol
Unas horas luego de que Spreek emitiera la alerta, Seneca admitió que estaba siendo víctima de un ataque cibernético, lo cual seguían investigando, además de contactar a terceros en búsqueda de soporte:
A su vez, el equipo de desarrollo del protocolo declaró que habían seleccionado a @HalbornSecurity para que fuera el encargado de ejecutar la auditoría del contrato donde se estaba generando la solicitud maliciosa de aprobación.
Ofrecimiento de fianza
Poco después, Seneca decidió emitir una publicación en X donde ofreció al hacker responsable del exploit el 20% de los fondos robados como pago de una fianza por “liberar” (devolver) el restante 80% a una dirección específica:
Al mismo tiempo, la plataforma de préstamos DeFi anunció que se encontraban trabajando activamente con diversos proveedores de seguridad externos, así como también autoridades policiales con el objetivo de rastrear los fondos.
En consecuencia, indicaron al hacker que actuara con prontitud y devolviera lo robado si deseada evitar futuras acciones legales por parte de la compañía.
Hacker decide devolver los fondos
Algunas horas después de que fuera publicada la oferta de fianza, reportes indican que fueron devueltos cerca 1.537 ETH ($5.3 millones); lo cual correspondió efectivamente al 80% de los fondos robados:
Por su parte, el restante 20% ligados a la fianza (cerca de 300 ETH equivalentes a $1.28 millones), fueron trasladados por el hacker a dos direcciones de billeteras de custodia.
¿Cómo ocurrió el exploit?
En base a un informe publicado por CertiK, la empresa de seguridad blockchain, el exploit en Seneca fue posible debido a un error en la función “performOperations” del código del proyecto.
Este bug permitió que el hacker hiciera “llamadas externas” a otras direcciones, ya que tanto el destinatario como los datos son administrados por él.
A su vez, un investigador blockchain comentó en redes que el protocolo estaría sufriendo una vulnerabilidad en la que los desarrolladores no tienen posibilidad de detener los smart contracts debido a que las funciones de “pausa” y “reanudación” contienen la palabra “internal” en el código.
Seneca aseguró que únicamente se vieron afectados los activos digitales custodiados en wallets de usuario, ya que el exploit no contempló los fondos que habían sido directamente depositados en el TVL del proyecto.