Så här förlorade DeFi-protokollet SIR.trading hela sin TVL på 355 000 $ till en exploatering

Angripare har utnyttjat Synthetics Implemented Right, ett decentraliserat finansprotokoll på Ethereum blockchain, vilket leder till att protokollet förlorar hela sitt totala värde låst (TVL).

Känt som SIR.trading, förlorade protokollet cirka 355 000 $ i attacken den 30 mars, med DeFiLlama-data som bekräftar att dess TVL sedan dess har sjunkit till noll.

SIR.trading hade positionerat sig som "ett nytt DeFi-protokoll för säkrare hävstång", med målet att minska risker som volatilitetsförfall och likvidation.

Hur utnyttjades SIR.trading?

Blockchain-säkerhetsföretaget Decurity kallade incidenten en "smart attack" som utnyttjade en sårbarhet i protokollets valvkontrakt.

Problemet var kopplat till uniswapV3SwapCallback-funktionen, som utnyttjar Ethereums övergående lagring, en ny funktion som introducerades i förra årets Dencun-uppgradering.

Enligt företaget lyckades angriparen ersätta den legitima Uniswap-pooladressen i denna callback-funktion med sin egen, vilket gjorde att de kunde omdirigera valvets medel.

Valvets logik validerade inte återuppringningskällan korrekt, och användningen av tillfällig lagring lät angriparen manipulera tillfälliga data mitt i transaktionen.

Genom att upprepade gånger anropa den sårbara funktionen kunde de tömma alla tillgångar från valvet.

I en separat kommentar efter incidenten framhöll blockkedjeforskaren SupLabsYi från Supremacy att attacken kan ha avslöjat ett bredare problem med själva Ethereums övergående lagring.

Han förklarade att tillfällig lagring endast återställs efter att transaktionen avslutats, vilket gör att angriparen kan skriva över kritiska säkerhetsdata innan funktionen slutförs exekvering, och tillägger:

I det här fallet kunde angriparen brute-force en fåfänga adress för att få den falska poolen att se legitim ut och använde ett anpassat kontrakt för att slutföra utnyttjandet.

TenArmor, ett annat blockchain-forskningsföretag och en av de första som flaggade händelsen på X, tillade att de stulna medlen snabbt överfördes till en adress som finansierades genom Ethereums integritetsplattform Railgun.

Projektets grundare, som identifierar sig som Xatarrer, har kontaktat Railgun för att få hjälp.

I ett tidigare meddelande till samhället beskrev Xatarrer exploateringen som "den värsta nyheten ett protokoll kan få", men sa att de var öppna för återuppbyggnad och bad om feedback om nästa steg.

DeFi-utnyttjningar förblir ett konsekvent hot

När DeFi fortsätter att förnya sig gör angriparnas taktik också det, och SIR.trading har nu anslutit sig till en lista över utnyttjade protokoll de senaste veckorna.

Den 19 mars avbröt Four.Meme, en BNB Chain-baserad memecoin-lanseringsplattform, sin token-lanseringsfunktion efter att en kritisk sårbarhet i en av protokollets funktioner tillät en angripare att manipulera plattformens smarta kontrakt.

Före denna attack drabbades Four.Meme av en annan attack den 11 februari, vilket också ledde till att dess token-likviditetspool på PancakeSwap tillfälligt stängdes av.

Under samma månad dränerades decentraliserade utlåningsprotokollet zkLend på över 9 miljoner dollar efter vad utvecklarna beskrev som en tom marknad.

Enligt en januarirapport från web3-säkerhetsföretaget PeckShield, 2024, var defi-protokollen de mest riktade.

Kryptoinvesterare förlorade 3,01 miljarder dollar, vilket är en ökning med ungefär 15% från föregående år.