Her er hvordan DeFi-protokollen SIR.trading mistet hele $355k TVL på grunn av en utnyttelse

Angripere har utnyttet Synthetics Implemented Right, en desentralisert finansprotokoll på Ethereum-blokkjeden, noe som fører til at protokollen mister hele sin totale verdi låst (TVL).

Protokollen, kjent som SIR.trading, tapte rundt $355 000 i angrepet 30. mars, med DeFiLlama-data som bekrefter at TVL-en siden har falt til null.

SIR.trading hadde posisjonert seg som "en ny DeFi-protokoll for sikrere innflytelse," med målet om å redusere risikoer som volatilitetsforfall og likvidering.

Hvordan ble SIR.trading utnyttet?

Blockchain-sikkerhetsfirmaet Decurity kalte hendelsen et "smart angrep" som utnyttet en sårbarhet i protokollens hvelvkontrakt.

Problemet var knyttet til uniswapV3SwapCallback-funksjonen, som utnytter Ethereums forbigående lagring, en ny funksjon introdusert i fjorårets Dencun-oppgradering.

Ifølge firmaet klarte angriperen å erstatte den legitime Uniswap-pooladressen i denne tilbakeringingsfunksjonen med sin egen, slik at de kunne omdirigere hvelvets midler.

Hvelvets logikk validerte ikke tilbakeringingskilden ordentlig, og bruken av forbigående lagring lot angriperen manipulere midlertidige data midt i transaksjonen.

Ved gjentatte ganger å kalle den sårbare funksjonen, klarte de å tappe alle eiendeler fra hvelvet.

I en egen kommentar etter hendelsen fremhevet blokkjedeforsker SupLabsYi fra Supremacy at angrepet kan ha avdekket et bredere problem med selve Ethereums forbigående lagring.

Han forklarte at forbigående lagring bare tilbakestilles etter at transaksjonen er avsluttet, slik at angriperen kan overskrive kritiske sikkerhetsdata før funksjonen fullføres, og legger til:

I dette tilfellet var angriperen i stand til å brutt-force en forfengelighetsadresse for å få den falske bassenget til å se legitim ut og brukte en tilpasset kontrakt for å fullføre utnyttelsen.

TenArmor, et annet blockchain-forskningsfirma og en av de første som flagget hendelsen på X, la til at de stjålne midlene raskt ble overført til en adresse finansiert gjennom Ethereums personvernplattform Railgun.

Prosjektets grunnlegger, som identifiserer seg som Xatarrer, har kontaktet Railgun for å få hjelp.

I en tidligere melding til fellesskapet beskrev Xatarrer utnyttelsen som «den verste nyheten en protokoll kunne motta», men sa at de var åpne for gjenoppbygging og ba om tilbakemelding på neste trinn.

DeFi-utnyttelser er fortsatt en konsekvent trussel

Ettersom DeFi fortsetter å innovere, gjør taktikken til angripere det samme, og SIR.trading har nå sluttet seg til en liste over utnyttede protokoller de siste ukene.

Den 19. mars suspenderte Four.Meme, en BNB Chain-basert memecoin-lanseringsplattform, sin token-lanseringsfunksjon etter at en kritisk sårbarhet i en av protokollens funksjoner tillot en angriper å manipulere plattformens smarte kontrakt.

Før dette angrepet ble Four.Meme utsatt for et nytt angrep 11. februar, som også førte til midlertidig suspensjon av token-likviditetspoolen på PancakeSwap.

I løpet av samme måned ble den desentraliserte utlånsprotokollen zkLend tappet for over 9 millioner dollar etter det utviklerne beskrev som et tomt marked.

I følge en januarrapport fra web3-sikkerhetsfirmaet PeckShield, i 2024, var defi-protokollene de mest målrettede.

Krypto-investorer tapte 3,01 milliarder dollar, noe som utgjør en økning på omtrent 15 % fra året før.