Her er hvordan DeFi-protokollen SIR.trading mistede hele sin $355k TVL til en udnyttelse

Angribere har udnyttet Synthetics Implemented Right, en decentraliseret finansprotokol på Ethereum blockchain, hvilket fører til, at protokollen mister hele sin totale værdilåst (TVL).

Kendt som SIR.trading tabte protokollen omkring $355.000 i angrebet den 30. marts, hvor DeFiLlama-data bekræfter, at dens TVL siden er faldet til nul.

SIR.trading havde positioneret sig selv som "en ny DeFi-protokol for sikrere gearing," med det mål at reducere risici som fald i volatilitet og likvidation.

Hvordan blev SIR.trading udnyttet?

Blockchain-sikkerhedsfirmaet Decurity kaldte hændelsen et "klogt angreb", der udnyttede en sårbarhed i protokollens vault-kontrakt.

Problemet var knyttet til uniswapV3SwapCallback-funktionen, som udnytter Ethereums forbigående lagring, en ny funktion introduceret i sidste års Dencun-opgradering.

Ifølge firmaet lykkedes det angriberen at erstatte den legitime Uniswap-pooladresse i denne tilbagekaldsfunktion med deres egen, så de kunne omdirigere boksens midler.

Vaultens logik validerede ikke tilbagekaldskilden korrekt, og brugen af ​​forbigående lagring lod angriberen manipulere midlertidige data midt i transaktionen.

Ved gentagne gange at kalde den sårbare funktion, var de i stand til at dræne alle aktiver fra hvælvingen.

I en separat kommentar efter hændelsen fremhævede blockchain-forsker SupLabsYi fra Supremacy, at angrebet kan have afsløret et bredere problem med selve Ethereums forbigående lagring.

Han forklarede, at forbigående lagring kun nulstilles efter transaktionen slutter, hvilket gør det muligt for angriberen at overskrive kritiske sikkerhedsdata, før funktionen afsluttes med at udføre, og tilføjer:

I dette tilfælde var angriberen i stand til at brute-force en forfængelighedsadresse for at få den falske pool til at se legitim ud og brugte en tilpasset kontrakt til at fuldføre udnyttelsen.

TenArmor, et andet blockchain-forskningsfirma og en af ​​de første til at markere hændelsen på X, tilføjede, at de stjålne midler hurtigt blev overført til en adresse finansieret gennem Ethereum-privatlivsplatformen Railgun.

Projektets grundlægger, der identificerer sig som Xatarrer, har kontaktet Railgun for at få hjælp.

I en tidligere besked til samfundet beskrev Xatarrer udnyttelsen som "den værste nyhed en protokol kunne modtage", men sagde, at de var åbne over for genopbygning og opfordrede til feedback om de næste skridt.

DeFi-udnyttelser forbliver en konsekvent trussel

Efterhånden som DeFi fortsætter med at innovere, gør angribernes taktik det samme, hvor SIR.trading nu har tilsluttet sig en liste over udnyttede protokoller i de seneste uger.

Den 19. marts suspenderede Four.Meme, en BNB Chain-baseret memecoin-lanceringsplatform, sin token-lanceringsfunktion, efter at en kritisk sårbarhed i en af ​​protokollens funktioner tillod en angriber at manipulere platformens smarte kontrakt.

Forud for dette angreb led Four.Meme endnu et angreb den 11. februar, hvilket også førte til den midlertidige suspendering af dets token-likviditetspulje på PancakeSwap.

I løbet af samme måned blev den decentraliserede udlånsprotokol zkLend drænet for over 9 millioner dollars efter, hvad udviklerne beskrev som en udnyttelse af det tomme marked.

Ifølge en januarrapport fra web3-sikkerhedsfirmaet PeckShield var defi-protokollerne i 2024 de mest målrettede.

Krypto-investorer tabte $3,01 milliarder, hvilket er en stigning på omkring 15% fra året før.