30 березня протокол DeFi SIR.trading на основі Ethereum, також відомий як Synthetics Implemented Right, зазнав збитків у розмірі 355 000 доларів США через хакерську атаку. Про цей інцидент спочатку повідомили аналітики TenArmorAlert і Decurity.
Decurity вказав, що фокус «складної атаки» був зосереджений на функції «відкритого контракту Vault», яка використовує тимчасове сховище Ethereum для автентифікації абонента.
Synthetics Implemented Right @leveragesir зламано за 355 тис. доларів
Це хитра атака. У вразливому контрактному сховищі (https://t.co/RycDbFY5Xq) є функція uniswapV3SwapCallback, яка використовує тимчасове сховище для перевірки абонента. Зокрема, він завантажує адресу… pic.twitter.com/u6PhksPV31
— Decurity (@DecurityHQ) 30 березня 2025 р
Відповідно до Decurity, хакер спочатку грубо змінив приватну адресу та надав необхідні параметри для створення потрібної кількості токенів, враховуючи, що значення суми вказує на адресу, яка знаходиться під його контролем. Згодом вони замінили законну адресу завантаження пулу Uniswap своїм власним гаманцем. Наполегливо викликаючи цю функцію, вони повністю виснажили TVL протоколу, як зазначив TenArmorAlert.
Основна причина полягає в тимчасовому зіткненні сховища у функції uniswapV3SwapCallback, яка використовує слот 1 як для адреси пулу Uniswap, так і для кількості карбованого токена.
Зловмисник ініціалізував шкідливе сховище та маніпулював викарбуваною сумою, щоб точно дорівнювати… pic.twitter.com/198A5Wrsbq
— TenArmorAlert (@TenArmorAlert) 30 березня 2025 р
Аналітик SupLabsYi з Supremacy дійшов висновку, що інцидент підкреслює потенційний недолік безпеки в тимчасовому сховищі Ethereum, функцію, представлену під час минулорічного оновлення Dencun для зниження витрат на транзакції.
«Це не просто загроза, спрямована на один екземпляр uniswapV3SwapCallback», — зауважив SupLabsYi, виступаючи за те, щоб функція була захищена шляхом впровадження «контрольної точки стану».
Засновник протоколу SIR.trading, відомий під псевдонімом Xatarrer, охарактеризував злом як «найприкрішу новину», яку тільки можна собі уявити, але підкреслив, що команда планує докладати зусиль, щоб підтримувати протокол у робочому стані.
Тож ми отримуємо найгіршу новину, яку міг отримати протокол, і його зламали на весь наш TVL ($355 тис.).
Я (@Xatarrer) хотів би не кидати рушник тут, оскільки я справді вірю в SIR.
Якщо ви також вірите в основний протокол і маєте ідеї щодо подальших дій, надішліть DM. https://t.co/FD6QxwfXP4
— SIR.trading (🦍^🎩) (@leveragesir) 30 березня 2025 р.
Фахівці TenArmorSecurity відстежили переміщення вкрадених коштів на адресу міксера Ethereum Railgun. Xatarrer звернувся до команди обслуговування по допомогу у відновленні втрачених активів.
SIR.trading позиціонує себе як «новий протокол DeFi для більш безпечного кредитного плеча». Документація проекту містить попередження про можливі помилки в смарт-контрактах, які можуть призвести до фінансових втрат.
Варто зазначити, що у вересні 2024 року хакеру вдалося скомпрометувати адресу розгортання DAI майже у всіх мережах L2.
Arabic
Chinese (Simplified)
Dutch
English
French
German
Italian
Portuguese
Spanish
Ukrainian