Así es como el protocolo DeFi SIR.trading perdió todo su TVL de 355.000 dólares debido a una vulnerabilidad.

Los atacantes han explotado Synthetics Implemented Right, un protocolo de finanzas descentralizadas en la cadena de bloques de Ethereum, lo que ha provocado que el protocolo pierda todo su valor total bloqueado (TVL).

Conocido como SIR.trading, el protocolo perdió alrededor de 355.000 dólares en el ataque del 30 de marzo, y los datos de DeFiLlama confirman que su TVL ha caído a cero desde entonces.

SIR.trading se había posicionado como “un nuevo protocolo DeFi para un apalancamiento más seguro”, con el objetivo de reducir riesgos como la depreciación por volatilidad y la liquidación.

¿Cómo se explotó SIR.trading?

La empresa de seguridad blockchain Decurity calificó el incidente como un "ataque inteligente" que explotó una vulnerabilidad en el contrato de bóveda del protocolo.

El problema estaba relacionado con la función uniswapV3SwapCallback, que utiliza el almacenamiento transitorio de Ethereum, una nueva característica introducida en la actualización Dencun del año pasado.

Según la empresa, el atacante logró reemplazar la dirección legítima del pool de Uniswap en esta función de devolución de llamada por la suya propia, lo que le permitió redirigir los fondos de la bóveda.

La lógica de la bóveda no validó correctamente la fuente de la devolución de llamada, y el uso de almacenamiento transitorio permitió al atacante manipular datos temporales durante la transacción.

Al llamar repetidamente a la función vulnerable, pudieron drenar todos los activos de la bóveda.

En un comentario posterior al incidente, el investigador de blockchain SupLabsYi de Supremacy destacó que el ataque podría haber expuesto un problema más amplio con el almacenamiento transitorio de Ethereum en sí.

Explicó que el almacenamiento transitorio solo se restablece después de que finaliza la transacción, lo que permite al atacante sobrescribir datos de seguridad críticos antes de que la función termine de ejecutarse, y añadió:

En este caso, el atacante pudo forzar una dirección personalizada para que el grupo falso pareciera legítimo y utilizó un contrato personalizado para completar la explotación.

TenArmor, otra firma de investigación de blockchain y una de las primeras en alertar sobre el incidente en X, añadió que los fondos robados fueron transferidos rápidamente a una dirección financiada a través de la plataforma de privacidad de Ethereum, Railgun.

El fundador del proyecto, que se identifica como Xatarrer, se ha puesto en contacto con Railgun para solicitar ayuda.

En un mensaje anterior a la comunidad, Xatarrer describió la vulnerabilidad como “la peor noticia que un protocolo podría recibir”, pero dijo que estaban abiertos a la reconstrucción y pidió comentarios sobre los próximos pasos.

Las vulnerabilidades en DeFi siguen siendo una amenaza constante.

A medida que DeFi continúa innovando, también lo hacen las tácticas de los atacantes, y SIR.trading se une ahora a una lista de protocolos explotados en las últimas semanas.

El 19 de marzo, Four.Meme, una plataforma de lanzamiento de memecoins basada en BNB Chain, suspendió su función de lanzamiento de tokens después de que una vulnerabilidad crítica en una de las funciones del protocolo permitiera a un atacante manipular el contrato inteligente de la plataforma.

Antes de este ataque, Four.Meme sufrió otro el 11 de febrero, que también provocó la suspensión temporal de su grupo de liquidez de tokens en PancakeSwap.

Durante el mismo mes, el protocolo de préstamos descentralizado zkLend sufrió un robo de más de 9 millones de dólares tras lo que los desarrolladores describieron como una explotación de mercado vacío.

Según un informe de enero de la empresa de seguridad web3 PeckShield, en 2024, los protocolos DeFi fueron los más atacados.

Los inversores en criptomonedas perdieron 3.010 millones de dólares, lo que supone un aumento de aproximadamente el 15% con respecto al año anterior.