# Breaking: Seneca Protocol meldt $6,4 miljoen verlies, onderzoek gaande
Recentelijk heeft het gedecentraliseerde financiën (DeFi) uitleenplatform en stablecoin-uitgever Seneca Protocol te maken gehad met een exploitatie, zoals aangekondigd op 28 februari op het officiële X-account van het protocol.
Volgens informatie die is vrijgegeven aan Cointelegraph, schat blockchain-analysebedrijf CertiK de verliezen op dit moment op $6,4 miljoen.
Het team van Seneca heeft gebruikers aangeraden om goedkeuringen voor de getroffen contracten in te trekken en heeft aangegeven dat ze momenteel samenwerken met beveiligingsspecialisten om de bug te onderzoeken.
Seneca Protocol is een DeFi uitleenplatform waarmee gebruikers verschillende cryptocurrencies als onderpand kunnen storten. Deze kunnen vervolgens worden gebruikt om de stablecoin van het platform, SenecaUSD, te genereren en te lenen.
Uit blockchain-gegevens blijkt dat een account eindigend op 42DC erin slaagde om ongeveer 1.385,23 Pendleton Kelp herbewaardeerde Ether (PT Kelp rsETH) over te dragen uit een Seneca-onderpandpool door de “performOperations”-functie aan te roepen.
Daarna wisselde dit account deze tokens om voor ongeveer $4 miljoen aan Ether (ETH) via drie transacties uit.
Vervolgens ging het account verder met het overdragen van nog eens 717,04 ETH-afgeleide tokens uit verschillende onderpandpools en wisselde deze om voor ETH.
Volgens CertiK werden deze overdrachten kwaadwillig uitgevoerd vanwege een fout in de “performOperations”-functie van het protocol.
De kwetsbaarheid maakt het mogelijk voor elk account om de functie aan te roepen met de actie OPERATION_CALL gespecificeerd, waardoor de aanvaller externe oproepen naar elk adres kan uitvoeren.
Certik beweert daarom dat de aanvaller erin slaagde om fondsen uit de onderpandpool te halen die niet van hen waren.
Blockchain-onderzoeker Spreek waarschuwde gebruikers ook voor de exploit op X en beschreef het als een “kritieke kwetsbaarheid”.
Spreek adviseerde gebruikers om goedkeuringen voor de adressen die in de exploit zijn gebruikt in te trekken.
Daarnaast merkte beveiligingsonderzoeker ddimitrov22 op dat Seneca ook last heeft van een extra kwetsbaarheid waardoor ontwikkelaars de Seneca-contracten niet kunnen pauzeren, omdat de pauze- en hervattingsfuncties als “intern” zijn aangeduid en dus niet toegankelijk zijn.
Het ontwikkelingsteam heeft toegegeven dat er sprake is van een aanval en verklaarde dat ze op dit moment bezig zijn met een onderzoek en binnenkort een update zullen geven.
*Dit artikel is geschreven vanuit het perspectief van de blogger en biedt geen financieel advies.*
