Voici comment le protocole DeFi SIR.trading a perdu la totalité de ses 355 000 $ de TVL à cause d'une faille.

Des attaquants ont exploité Synthetics Implemented Right, un protocole de finance décentralisée sur la blockchain Ethereum, entraînant la perte de la totalité de la valeur totale bloquée (TVL) du protocole.

Connu sous le nom de SIR.trading, le protocole a perdu environ 355 000 $ lors de l'attaque du 30 mars, les données de DeFiLlama confirmant que sa TVL est depuis tombée à zéro.

SIR.trading s'était positionné comme « un nouveau protocole DeFi pour un effet de levier plus sûr », avec pour objectif de réduire les risques tels que la dégradation de la volatilité et la liquidation.

Comment SIR.trading a-t-il été exploité ?

La société de sécurité blockchain Decurity a qualifié l'incident d'« attaque astucieuse » qui a exploité une vulnérabilité dans le contrat de coffre-fort du protocole.

Le problème était lié à la fonction uniswapV3SwapCallback, qui utilise le stockage transitoire d'Ethereum, une nouvelle fonctionnalité introduite lors de la mise à niveau Dencun de l'année dernière.

Selon la société, l'attaquant a réussi à remplacer l'adresse légitime du pool Uniswap dans cette fonction de rappel par la sienne, lui permettant ainsi de rediriger les fonds du coffre-fort.

La logique du coffre-fort n'a pas correctement validé la source du rappel, et l'utilisation d'un stockage transitoire a permis à l'attaquant de manipuler des données temporaires en cours de transaction.

En appelant à plusieurs reprises la fonction vulnérable, ils ont pu vider tous les actifs du coffre-fort.

Dans un commentaire séparé après l'incident, le chercheur en blockchain SupLabsYi de Supremacy a souligné que l'attaque pourrait avoir mis en lumière un problème plus large lié au stockage transitoire d'Ethereum lui-même.

Il a expliqué que le stockage transitoire n'est réinitialisé qu'après la fin de la transaction, permettant à l'attaquant de remplacer des données de sécurité critiques avant la fin de l'exécution de la fonction, ajoutant :

Dans ce cas, l'attaquant a réussi à forcer une adresse personnalisée pour donner une apparence légitime à la fausse pool et a utilisé un contrat personnalisé pour mener à bien l'exploit.

TenArmor, une autre société de recherche sur la blockchain et l'une des premières à signaler l'incident sur X, a ajouté que les fonds volés avaient été rapidement transférés vers une adresse financée via la plateforme de confidentialité Ethereum Railgun.

Le fondateur du projet, qui se présente sous le nom de Xatarrer, a contacté Railgun pour obtenir de l'aide.

Dans un précédent message à la communauté, Xatarrer a qualifié l'exploit de « pire nouvelle qu'un protocole puisse recevoir », mais a déclaré qu'ils étaient ouverts à la reconstruction et a sollicité des commentaires sur les prochaines étapes.

Les failles de sécurité dans la DeFi restent une menace constante.

Alors que la DeFi continue d'innover, les tactiques des attaquants évoluent également, SIR.trading rejoignant désormais la liste des protocoles exploités ces dernières semaines.

Le 19 mars, Four.Meme, une plateforme de lancement de memecoins basée sur la BNB Chain, a suspendu sa fonctionnalité de lancement de jetons après qu'une vulnérabilité critique dans l'une des fonctions du protocole a permis à un attaquant de manipuler le contrat intelligent de la plateforme.

Avant cette attaque, Four.Meme avait subi une autre attaque le 11 février, qui avait également entraîné la suspension temporaire de son pool de liquidités de jetons sur PancakeSwap.

Au cours du même mois, le protocole de prêt décentralisé zkLend a été vidé de plus de 9 millions de dollars suite à ce que les développeurs ont décrit comme une exploitation de marché vide.

Selon un rapport de janvier de la société de sécurité web3 PeckShield, les protocoles DeFi ont été les plus ciblés en 2024.

Les investisseurs en cryptomonnaies ont perdu 3,01 milliards de dollars, soit une augmentation d'environ 15 % par rapport à l'année précédente.