Протокол Defi на основі Ethereum Sir.trading, також відомий як синтетика, реалізована право, був зламаний, що призвело до втрати всієї його загальної вартості заблокованої (TVL)-355 000 доларів на момент нападу.
Хак, який стався 30 березня, спочатку був виявлений фірмами Blockchain Security Tenarmoralert та Alection, обидва з яких опублікували попередження про X, щоб попередити користувачів про протокол.
Засновник протоколу, відомий лише як Xatarrer, описав хак як “найгіршу новину, яку протокол міг отримати [sic]”, але запропонував їм спробувати тримати протокол, незважаючи на невдачу.
“Розумна атака” націлювався на склепіння контракту
Вив’ять описав хак як “розумну атаку”, яка орієнтувалася на функцію зворотного виклику, використовувану в “вразливому сховищі контракту” протоколу, яка використовує функцію перехідного зберігання Ethereum.
За словами, зловмисник зміг замінити справжню адресу пулу Uniswap, що використовується в цій функції зворотного дзвінка з адресою під контролем хакера, що дозволяє їм перенаправити кошти у сховищі на свою адресу. Далі Tenarmoralert пояснив, що, неодноразово називаючи цю функцію зворотного дзвінка, зловмисник зміг повністю осушити ТВЛ протоколу.
Suplabsyi, з верховенства фірми Blockchain Security, детальніше вступила в атаку в X Пості, заявивши, що це може продемонструвати недолік безпеки в перехідному сховищі Ethereum.
Тимчасове зберігання було додано до Ethereum з минулорічним оновленням Dencun. Нова функція дозволяє тимчасово зберігати дані, що призводять до зниження плати за газ, ніж звичайне зберігання.
За словами Suplabsyi, це все ще є “зародженою особливістю”, і напад може бути одним із перших, хто використовує свої вразливості.
“Це не просто загроза, спрямована на один екземпляр Uniswapv3swapcallback”, – сказав Суплабсі.
Tenarmorsecurity заявив, що викрадені фонди тепер були внесені до адреси, що фінансується за допомогою рішення про конфіденційність Ethereum, Railgun. З тих пір Xatarrer звернувся до Railgun за допомогою.
Пов’язано: Defi Hacks знизився на 40% у 2024 році, порушення Cefi SUVES до 694 млн доларів – Хакен
Документація сер. Зазначена мета протоколу полягала в тому, щоб вирішити деякі виклики торгівлі з використанням, “наприклад, занепаду нестабільності та ризику ліквідації, що робить його більш безпечним для довгострокових інвестування”.
Незважаючи на те, що він спрямований на більш безпечну торгівлю, документація протоколу попередила користувачів, що, незважаючи на аудит, його розумні контракти все ще можуть містити помилки, які можуть призвести до фінансових втрат – підкреслення склепіння платформи як певну сферу вразливості.
“Нерозкриті помилки або подвиги в розумних контрактах SIR можуть призвести до втрат фінансування. Це може бути наслідком складної логіки в механіці сховища або розрахунків, що аудит не змогли зловити, піддаючи користувачів рідкісним, але критичним збоям”, – йдеться у документації проекту.
