30 березня протокол DeFi SIR.trading на базі Ethereum, також відомий як Synthetics Implemented Right, зазнав збитків у розмірі 355 000 доларів від свого TVL через хакерський інцидент. Про цю подію спочатку повідомили аналітики TenArmorAlert і Decurity.
Decurity вказав, що «складна атака» була спрямована на функцію «відкритого контракту Vault», яка використовує тимчасове сховище Ethereum для автентифікації абонента.
Synthetics Implemented Right @leveragesir зламано за 355 тис. доларів
Це хитра атака. У вразливому контрактному сховищі (https://t.co/RycDbFY5Xq) є функція uniswapV3SwapCallback, яка використовує тимчасове сховище для перевірки абонента. Зокрема, він завантажує адресу… pic.twitter.com/u6PhksPV31
— Decurity (@DecurityHQ) 30 березня 2025 р
Як повідомляє Decurity, хакер спочатку обробив приватну адресу методом грубої форсування та надав необхідні параметри для отримання зазначеної кількості токенів, оскільки значення вказувало на контрольовану адресу. Потім зловмисник замінив справжню адресу завантаження пулу Uniswap на свій власний гаманець. Багаторазово викликаючи цю функцію, вони повністю виснажили TVL протоколу, зазначив TenArmorAlert.
Основна причина полягає в тимчасовому зіткненні сховища у функції uniswapV3SwapCallback, яка використовує слот 1 як для адреси пулу Uniswap, так і для кількості карбованого токена.
Зловмисник ініціалізував шкідливе сховище та маніпулював викарбуваною сумою, щоб точно дорівнювати… pic.twitter.com/198A5Wrsbq
— TenArmorAlert (@TenArmorAlert) 30 березня 2025 р
Аналітик SupLabsYi з Supremacy дійшов висновку, що цей інцидент підкреслює потенційний недолік безпеки в тимчасовому сховищі Ethereum, який було представлено під час минулорічного оновлення Dencun, щоб мінімізувати комісію за транзакції.
«Це не просто загроза, націлена на окремий екземпляр uniswapV3SwapCallback», — зауважив SupLabsYi, пропонуючи захистити функцію за допомогою «контрольної точки стану».
Творець протоколу SIR.trading, відомий як Xatarrer, назвав злом «найгіршою новиною», яку тільки можна уявити, але висловив, що команда планує прагнути підтримувати функціонування протоколу.
Отже, ми отримуємо найгіршу новину, яку міг отримати протокол, і його зламали для всього TVL ($355 тис.).
Я (@Xatarrer) хотів би не кидати рушник тут, оскільки я справді вірю в SIR.
Якщо ви також вірите в основний протокол і маєте будь-які ідеї щодо подальших дій, надішліть DM. https://t.co/FD6QxwfXP4
— SIR.trading (🦍^🎩) (@leveragesir) 30 березня 2025 р.
Фахівці TenArmorSecurity відстежили, як викрадені кошти переміщуються на адресу міксера Ethereum Railgun. Xatarrer звернувся до команди обслуговування по допомогу у відновленні втрачених ресурсів.
SIR.trading рекламує себе як «новий протокол DeFi для підвищення безпеки кредитного плеча». Проектна документація містить рекомендації щодо можливих помилок у смарт-контрактах, які можуть призвести до фінансових невдач.
Варто зазначити, що у вересні 2024 року хакер зламав адресу розгортання DAI майже у всіх мережах L2.
