Протокол DEFI на основе Ethereum Sir. Trading, также известный как Synthetics, реализованный справа, был взломан, что привело к потере всей его общей стоимости (TVL)-355 000 долл. США во время атаки.
Хак, который произошел 30 марта, был первоначально обнаружен фирмами безопасности блокчейна Tenarmoralert и Decertion, которые оба из которых разместили предупреждения о X, чтобы предупредить пользователей протокола.
Основатель протокола, известный только как Xatarrer, назвал взлом «худшей новостью, которую мог получить протокол [sic]», но предположил, что они намерены попытаться сохранить протокол, несмотря на неудачу.
«Умная атака» нацеленное на контрактное хранилище
Департамент описал взлом как «умную атаку», которая нацелена на функцию обратного вызова, используемую в «уязвимом хранилище контракта протокола», которое использует функцию переходного хранения Ethereum.
Согласно отчете, злоумышленник смог заменить настоящий адрес бассейна UniSwap, используемый в этой функции обратного вызова, адресом под контролем хакера, что позволило им перенаправить средства в хранилище на свой адрес. Тенарморалер также объяснил, что, неоднократно назвав эту функцию обратного вызова, злоумышленник смог полностью истощать TVL протокола.
Suplabsyi из Suppremacy фирмы Blockchain Suppremacy, более подробно рассказал о атаке в посте X, заявив, что это может продемонстрировать недостаток безопасности в переходном хранилище Ethereum.
Переходное хранилище было добавлено в Ethereum с прошлогодним обновлением Dencun. Новая функция обеспечивает временное хранение данных, приводящих к более низкой плате за газ, чем обычное хранение.
Согласно Suplabsyi, это все еще «зарождающаяся особенность», и атака может быть одной из первых, кто использует ее уязвимости.
«Это не просто угроза, направленная на один случай Uniswapv3swapcallback», – сказал Суплабий.
Tenarmorsecurity заявила, что украденные средства в настоящее время депонированы на адрес, финансируемый через решение для конфиденциальности Ethereum, Railgun. Ксатаррер с тех пор обратился в Рейлгун за помощью.
Связанный: Defi Hacks упал на 40% в 2024 году, CEFI нарушает выросшие до 694 млн. Долл. США – Хакен
Документация Sir. Trading показывает, что она была объявлена «новым протоколом DEFI для более безопасных рычагов». Заявленная цель протокола состояла в том, чтобы решить некоторые проблемы с использованием торговли с использованием с использованием «Торговля», «такими как риск распада волатильности и ликвидация, что делает ее более безопасным для долгосрочных инвестиций».
Несмотря на то, что он нацелен на более безопасную торговлю с заемной точкой, документация протокола предупреждала пользователей, что, несмотря на проверку, его интеллектуальные контракты могут по -прежнему содержать ошибки, которые могут привести к финансовым потерям, – подчеркивая хранилища платформы как конкретную область уязвимости.
«Недооотрованные ошибки или эксплуатации в интеллектуальных контрактах сэра могут привести к убыткам фонда. Это может быть связано с сложной логикой в механике хранилища или расчетах, которые аудиты не смогли поймать, подвергая пользователей редким, но критическим сбоям», – говорится в документации проекта.
