Zo verloor DeFi-protocol SIR.trading zijn volledige TVL van $355.000 aan een exploit.

Aanvallers hebben misbruik gemaakt van Synthetics Implemented Right, een gedecentraliseerd financieel protocol op de Ethereum-blockchain, waardoor het protocol zijn volledige totale waarde in bezit (TVL) is kwijtgeraakt.

Het protocol, bekend als SIR.trading, verloor ongeveer $355.000 bij de aanval van 30 maart, waarbij gegevens van DeFiLlama bevestigen dat de TVL sindsdien tot nul is gedaald.

SIR.trading positioneerde zichzelf als “een nieuw DeFi-protocol voor veiligere hefboomwerking”, met als doel risico's zoals volatiliteitsverval en liquidatie te verminderen.

Hoe werd SIR.trading misbruikt?

Blockchain-beveiligingsbedrijf Decurity noemde het incident een "slimme aanval" die een kwetsbaarheid in het kluiscontract van het protocol uitbuitte.

Het probleem was gerelateerd aan de uniswapV3SwapCallback-functie, die gebruikmaakt van de tijdelijke opslag van Ethereum, een nieuwe functie die vorig jaar met de Dencun-upgrade werd geïntroduceerd.

Volgens het bedrijf is het de aanvaller gelukt om het legitieme Uniswap-pooladres in deze callback-functie te vervangen door zijn eigen adres, waardoor hij de fondsen van de kluis kon omleiden.

De logica van de kluis valideerde de bron van de callback niet correct, en het gebruik van tijdelijke opslag stelde de aanvaller in staat om tijdelijke gegevens tijdens de transactie te manipuleren.

Door de kwetsbare functie herhaaldelijk aan te roepen, konden ze alle activa uit de kluis halen.

In een afzonderlijke reactie na het incident benadrukte blockchain-onderzoeker SupLabsYi van Supremacy dat de aanval mogelijk een breder probleem met de tijdelijke opslag van Ethereum zelf aan het licht heeft gebracht.

Hij legde uit dat de tijdelijke opslag pas wordt gereset nadat de transactie is voltooid, waardoor de aanvaller kritieke beveiligingsgegevens kan overschrijven voordat de functie klaar is met uitvoeren, en voegde eraan toe:

In dit geval kon de aanvaller een vanity-adres brute-forcen om de nep-pool legitiem te laten lijken en gebruikte hij een aangepast contract om de exploit uit te voeren.

TenArmor, een ander blockchain-onderzoeksbureau en een van de eerste die het incident op X meldde, voegde eraan toe dat de gestolen fondsen snel werden overgemaakt naar een adres dat werd gefinancierd via het Ethereum-privacyplatform Railgun.

De oprichter van het project, die zich identificeert als Xatarrer, heeft Railgun om hulp gevraagd.

In een eerdere boodschap aan de community beschreef Xatarrer de exploit als "het slechtste nieuws dat een protocol kon ontvangen", maar zei dat ze openstonden voor wederopbouw en riepen ze op tot feedback over de volgende stappen.

DeFi-exploits blijven een constante dreiging.

Naarmate DeFi blijft innoveren, veranderen ook de tactieken van aanvallers. SIR.trading voegt zich nu bij een lijst van protocollen die de afgelopen weken zijn geëxploiteerd.

Op 19 maart schortte Four.Meme, een op BNB Chain gebaseerd platform voor de lancering van memecoins, zijn tokenlanceringfunctie op nadat een kritieke kwetsbaarheid in een van de functies van het protocol een aanvaller in staat stelde het smart contract van het platform te manipuleren.

Voorafgaand aan deze aanval werd Four.Meme op 11 februari ook al getroffen door een aanval, die eveneens leidde tot de tijdelijke opschorting van de liquiditeitspool van de token op PancakeSwap.

In dezelfde maand werd het gedecentraliseerde leenprotocol zkLend voor meer dan $9 miljoen geplunderd na wat de ontwikkelaars omschreven als een exploitatie van een lege markt.

Volgens een rapport van januari van web3-beveiligingsbedrijf PeckShield waren defi-protocollen in 2024 het meest doelwit van aanvallen.

Cryptobeleggers verloren $3,01 miljard, een stijging van ongeveer 15% ten opzichte van het voorgaande jaar.