据2月28日在官方X账号上的声明，去中心化金融（DeFi）借贷平台及稳定币发行方Seneca Protocol遭到黑客攻击。Cointelegraph曝光的一份报告中，区块链分析公司CertiK估计损失已达640万美元。Seneca团队敦促用户撤销受影响合约的授权。他们表示：“我们的员工目前正在与安全专家合作，调查这个漏洞。”

我们现在正积极与安全专家合作，调查今天发现的授权漏洞。

在此期间，撤销以下地址的授权：#Ethereum
PT-ezETH 0x529eBB6D157dFE5AE2AA7199a6f9E0e9830E6Dc1
apxETH 0xD837321Fc7fabA9af2f37EFFA08d4973A9BaCe34…

Seneca Protocol是一款DeFi借贷应用，让用户能将各种加密货币作为抵押品，并将其抵押后用来铸造和借款平台的原生稳定币SenecaUSD。

区块链数据显示，一个以42DC结尾的账户能够从Seneca抵押池中转入约1,385.23 Pendleton Kelp重铸以太币（PT Kelp rsETH），通过调用“performOperations”函数完成。该账户在接下来的三次交易中，用约400万美元的以太币（ETH）将这些代币换成以太币。在这些交易后，账户从不同抵押池中进一步转入717.04 ETH衍生代币，并换成以太币。

CertiK在其报告中声称，这些转账是恶意的。报告称，由于协议中“performOperations”函数存在缺陷，这使得攻击者可以“通过调用指定为攻击者控制的callee地址和callData来执行外部调用”。因此，CertiK声称，攻击者能够从它不拥有的抵押池中盗用资金。

区块链调查员Spreek也在X上提醒用户有关这次攻击，称这是一项“关键漏洞”。Spreek建议用户撤销用于攻击的地址的授权。

相关：Serenity Shield代币在MetaMask钱包被破解后暴跌近99%

安全研究员ddimitrov22表示，Seneca还面临一个新的漏洞，阻止开发者暂停Seneca合约，因为暂停和恢复功能中的关键字是“internal”，这意味着“无法调用它们”。

Seneca协议遭黑客攻击，即便继承了Pausable库，也无法暂停。

这是因为其中的“_pause”和“_unpause”函数是内部函数，无法调用。pic.twitter.com/en0qIsayMX

在承认攻击的帖文中，开发团队表示正在开展调查，并将不久后公布更新。

2024年，黑客和网络攻击继续威胁Web3用户。2月23日，Axie Infinity联合创始人Jeff“Jihoz”Zirlin在个人钱包遭到黑客攻击后损失了970万美元。同一天，DeFi协议Blueberry遭到攻击，损失了457 ETH。