SEI Chain стикається з вразливістю до флеш-замовлень: порушення контракту Synnax відкриває новий вектор атаки

Атаки з використанням флеш-кредитів продовжують турбувати екосистему DeFi, і ланцюг SEI став останньою жертвою. Однак недавній інцидент із безпекою контракту Synnax виявляє тонку загрозу — іноді найбільша вразливість полягає не у самому коді, а у способі взаємодії користувачів із ним.

Аналіз атаки

Згідно з висновками BlockSec Phalcon, зловмисник використав механізм флеш-кредиту для вилучення 1.96 мільйонів токенів WSEI з контракту Synnax, що становить приблизно $240,000 у цінності. Що робить цей інцидент особливо важливим, так це те, що зловмисник ніколи не планував повертати позичені кошти, здійснивши повний вивід капіталу замість типової атаки з використанням арбітражу через флеш-кредит.

Неочікуваний каталізатор

Однак справжня історія починається три блоки раніше. Адреса (0x9748…a714) випадково переказала значну суму коштів безпосередньо на контракт через те, що, ймовірно, було помилкою користувача. Ця неправильно спрямована транзакція фактично попередньо завантажила контракт Synnax необхідним капіталом для здійснення подальшої атаки з використанням флеш-кредиту. Інцидент підкреслює важливий патерн: помилки користувачів можуть стати каталізаторами атак.

Ланцюг атаки та технічні деталі

Зловживання було здійснено через дві основні транзакції (TX1 і TX2), що демонструє, як зловмисники з’єднують операції для максимізації ефективності вилучення. Транзакції відбувалися у скоординованій послідовності, що залишила мінімальний простір для виявлення або втручання.

Ширші ризики

Цей інцидент із ланцюгом SEI слугує нагадуванням, що безпека DeFi — це не лише аудит смарт-контрактів. Помилки у роботі ланцюга — будь то випадкові перекази коштів або неправильні налаштування параметрів — можуть створювати несподівані вектори атак, які можуть бути пропущені при перевірках безпеки. З розвитком екосистеми захист від вразливостей у коді та операційних помилок стає однаково важливим.