Protocolo Defi fundamentado em Ethereum Sir.trading, também divulgado porquê Synthetics implementado, foi invadido, resultando na perda de todo o seu valor totalidade bloqueado (TVL)-US $ 355.000 no momento do ataque.
O hack de 30 de março foi inicialmente detectado por empresas de segurança blockchain TERMARMORALERTO e Decargurançaos quais publicaram avisos em X para alertar os usuários do protocolo.
O fundador do protocolo, divulgado exclusivamente porquê Xatarrer, descreveu o hack porquê “as piores notícias que um protocolo poderia receber (sic)”, mas sugeriu que a equipe pretenda tentar manter o protocolo em funcionamento, apesar do revés.
Natividade: Sir
“Ataque inteligente” cofre de contrato direcionado
Decargurança descrito O hack porquê um “ataque inteligente” que visava uma função de retorno de chamada usada no “cofre de contrato vulnerável” do protocolo, que aproveita o recurso de armazenamento transitório da Ethereum.
De contrato com a Decurtion, o invasor conseguiu substituir o endereço de pool uniswap real usado nesta função de retorno de chamada com um endereço sob o controle do hacker, permitindo que eles redirecionassem os fundos no cofre para o endereço deles. TenArmoralert ainda mais explicado Ao invocar repetidamente essa função de retorno de chamada, o invasor conseguiu drenar completamente a TVL do protocolo.
Natividade: Decargurança
Suplabsyi, da Supremacia da empresa de segurança blockchain, entrou em mais pormenor No ataque em uma postagem X, afirmando que pode provar uma irregularidade de segurança no armazenamento transitório da Ethereum.
O armazenamento transitório era adicionado ao Ethereum com a atualização do Dencun do ano pretérito. O novo recurso permite o armazenamento temporário de dados que levam a taxas de gás mais baixas do que o armazenamento regular.
De contrato com Para Supplabsyi, ainda é um “recurso nascente”, e o ataque pode ser um dos primeiros a explorar suas vulnerabilidades.
“Esta não é exclusivamente uma prenúncio destinada a uma única instância do Uniswapv3SwapCallback”, disse Supplabsyi.
TenArmorSecurity disse Os fundos roubados foram agora depositados em um endereço financiado pela Solução de Privacidade do Ethereum. Desde portanto, Xatarrer procurou assistência na Railgun.
Relacionado: Defi Hacks caem 40% em 2024, o CEFI Breaches surge para US $ 694 milhões – Hacken
Sir.trading’s documentação mostra que foi anunciado porquê “um novo protocolo de defi para alavancagem mais segura”. O objetivo proferido do protocolo era abordar alguns dos desafios da negociação alavancada, “porquê decaimento da volatilidade e riscos de liquidação, tornando-o mais seguro para investimentos a longo prazo”.
Enquanto pretendia o transacção alavancado mais seguro, a documentação do protocolo fez avisar Os usuários que, apesar de serem auditados, seus contratos inteligentes ainda podem sofrear bugs que podem levar a perdas financeiras – destacando os cofres da plataforma porquê uma extensão específica de vulnerabilidade.
“Bugs ou explorações não descobertas nos contratos inteligentes da SIR podem levar a perdas de fundos. Eles podem resultar da lógica complexa na mecânica do cofre ou nos cálculos de alavancagem que as auditorias falharam em tomar, expondo os usuários a falhas raras, mas críticas”, afirma a documentação do projeto.
Revista: O que são rollups nativos? Guia completo para a mais recente inovação do Ethereum