Hack crypto : il siphonne 6 millions de $ sur Seneca grâce à un bug
Le Bitcoin a dépassé son précédent record historique en passant la barre des 62 000$. Alors que l’ensemble de l’écosystème entre dans l’euphorie, un autre groupe d’utilisateurs se frotte les mains. Ainsi, avec la hausse des cours, de plus en plus de hackers ciblent détenteurs et protocoles de cryptomonnaies. Le dernier en date, Seneca a récemment perdu 6 millions de dollars via le hack de son smart contract.
Hack Seneca : 6 millions de dollars envolés
Seneca est un protocole hébergé sur Ethereum et Arbitrum, et est à l’origine du stablecoin senUSD. En pratique, ce stablecoin est dit « sur-collatéralisé ». Ainsi, il se base sur des Collateral Debt Position (CDP). Cela permet aux utilisateurs de déposer des cryptomonnaies en gage et d’émettre du senUSD contre ces cryptos.
Le 28 février, les équipes de Seneca ont annoncé avoir découvert un bug dans l’un de leurs contrats. Lors de cette annonce, Seneca invite les utilisateurs à révoquer les approbations sur les contrats du protocole.
Malheureusement, ce bug a été exploité avant d’être découvert, entraînant la perte de 6 millions de dollars dans les pools du protocole.
Désormais, les équipes de Seneca explorent activement la source de la faille afin de la corriger.
De leur côté, les équipes de BlockSec, une entreprise spécialisée dans la sécurité des protocoles crypto, envisagent que l’attaquant a profité d’un problème “d’appel arbitraire”. En d’autres termes, cela lui a permis d’effectuer des transferts non autorisés depuis le contrat du projet vers une adresse externe.
Négociation et suite des évènements
Au lendemain de l’attaque, les équipes de Seneca ont entrepris des négociations avec le hacker. Pour ce faire, elles l’ont contacté via des messages on-chain.
Dans ce message, Seneca propose au hacker de restituer les fonds dérobés. Toutefois, ils proposent de conserver 20 % du montant comme bug bounty, soit 1.2 million de dollars.
En parallèle, Seneca dévoile travailler activement avec des sociétés spécialisées dans la sécurité ainsi que les forces de l’ordre pour retrouver les fonds dérobés. Par conséquent, si le hacker ne restitue pas les fonds, celui-ci devra faire face à une potentielle action en justice.
Suite à ce message, le hacker a entrepris de disperser une partie des fonds vers plusieurs adresses.
De son côté, le senUSD s’est éloigné de son peg et s’échange aux alentours de 0.71 $, doit 29 centimes en dessous de son prix normal. Il en va de même pour le token SEN qui a vu son cours divisé par 4 après l’attaque, passant de 0.8 $ à 0.2 $.
Il y a une dizaine de jours, c’était le protocole FixedFloat qui était pris pour cible. Ainsi, l’exchange décentralisé a perdu pas moins de 26 millions de dollars dans un hack.