«Хітра атака» на протокол SIR.trading призвела до скидання TVL до нуля

30 березня протокол DeFi SIR.trading на базі Ethereum, також відомий як Synthetics Implemented Right, зазнав збитків у розмірі 355 000 доларів від свого TVL через хакерський інцидент. Про цю подію спочатку повідомили аналітики TenArmorAlert і Decurity.

Decurity вказав, що «складна атака» була спрямована на функцію «відкритого контракту Vault», яка використовує тимчасове сховище Ethereum для автентифікації абонента.

Як повідомляє Decurity, хакер спочатку обробив приватну адресу методом грубої форсування та надав необхідні параметри для отримання зазначеної кількості токенів, оскільки значення вказувало на контрольовану адресу. Потім зловмисник замінив справжню адресу завантаження пулу Uniswap на свій власний гаманець. Багаторазово викликаючи цю функцію, вони повністю виснажили TVL протоколу, зазначив TenArmorAlert.

Аналітик SupLabsYi з Supremacy дійшов висновку, що цей інцидент підкреслює потенційний недолік безпеки в тимчасовому сховищі Ethereum, який було представлено під час минулорічного оновлення Dencun, щоб мінімізувати комісію за транзакції.

«Це не просто загроза, націлена на окремий екземпляр uniswapV3SwapCallback», — зауважив SupLabsYi, пропонуючи захистити функцію за допомогою «контрольної точки стану».

Творець протоколу SIR.trading, відомий як Xatarrer, назвав злом «найгіршою новиною», яку тільки можна уявити, але висловив, що команда планує прагнути підтримувати функціонування протоколу.

Фахівці TenArmorSecurity відстежили, як викрадені кошти переміщуються на адресу міксера Ethereum Railgun. Xatarrer звернувся до команди обслуговування по допомогу у відновленні втрачених ресурсів.

SIR.trading рекламує себе як «новий протокол DeFi для підвищення безпеки кредитного плеча». Проектна документація містить рекомендації щодо можливих помилок у смарт-контрактах, які можуть призвести до фінансових невдач.

Варто зазначити, що у вересні 2024 року хакер зламав адресу розгортання DAI майже у всіх мережах L2.

Джерело

No votes yet.
Please wait...
Поділіться своєю любов'ю

Залишити відповідь

Ваша e-mail адреса не оприлюднюватиметься. Обов’язкові поля позначені *