Nous venons d’apprendre que la plateforme de prêt décentralisée Seneca a été victime d’une exploitation malveillante entraînant un vol de plus de 6 millions de dollars en collatéraux. Ce type d’incident soulève des questions sur la sécurité des protocoles DeFi et la nécessité de mesures de protection plus robustes pour les utilisateurs.
La vulnérabilité exploitée
Seneca, une application de prêt en finance décentralisée (DeFi), permet aux utilisateurs de déposer diverses cryptomonnaies comme garantie pour émettre et emprunter sa stablecoin native, SenecaUSD. Cependant, une faille dans sa fonction ‘performOperations’ a été exploitée, permettant à un compte de retirer environ 1 385,23 Pendleton Kelp restaked Ether (PT Kelp rsETH) d’un pool de collatéraux Seneca. Cette action a été réalisée par l’appel à la fonction “performOperations” qui a ensuite été utilisée pour échanger ces tokens contre environ 4 millions de dollars en Ether (ETH) au cours de trois transactions. Ensuite, le compte a transféré 717,04 jetons dérivés d’ETH à partir de divers pools de collatéraux et les a échangés contre de l’ETH.
Les conséquences immédiates
La société d’analyse blockchain CertiK estime que les pertes s’élèvent jusqu’à présent à 6,4 millions de dollars. L’équipe de Seneca a exhorté les utilisateurs à révoquer les approbations des contrats affectés et travaille actuellement avec des spécialistes en sécurité pour enquêter sur le bogue. Un enquêteur blockchain nommé Spreek a également mis en garde les utilisateurs contre cette exploitation, qualifiant la vulnérabilité de “critique”.
Un problème plus profond
En outre, un chercheur en sécurité du nom de ddimitrov22 a signalé une vulnérabilité supplémentaire empêchant les développeurs de mettre en pause les contrats Seneca. Les fonctions de pause et de reprise dans ces contrats contiennent le mot-clé “interne”, ce qui signifie qu’il n’y a aucun moyen de les appeler. L’équipe de développement a reconnu l’attaque et a annoncé qu’elle mènerait une enquête et publierait une mise à jour “prochainement”.
Le contexte plus large
Cet incident s’inscrit dans un contexte où les hacks et les exploits continuent de menacer les utilisateurs du Web3 en 2024. Récemment, le co-fondateur d’Axie Infinity, Jeff “Jihoz” Zirlin, a perdu 9,7 millions de dollars suite au piratage de ses portefeuilles personnels, et le protocole DeFi Blueberry a été exploité pour 457 ETH.
Cette série d’incidents met en évidence le besoin crucial pour les plates-formes DeFi d’améliorer leurs mesures de sécurité pour protéger efficacement les actifs des utilisateurs. Il est impératif que les développeurs et les auditeurs travaillent sans relâche pour identifier et corriger ces vulnérabilités avant qu’elles ne soient exploitées. De notre côté, nous continuerons à suivre cette situation et à vous informer sur toutes les mises à jour pertinentes sur cours-crypto.fr.
