«Хитра атака» на протокол SIR.trading призвела до обнулення TVL

30 березня DeFi-протокол SIR.trading у мережі Ethereum, також відомий як Synthetics Implemented Right, втратив $355 000 своєї TVL унаслідок злому. Першими на інцидент звернули увагу аналітики з TenArmorAlert і Decurity.

Останні повідомили, що метою «хитрої атаки» була функція «вразливого контракту Vault», яка використовує тимчасове сховище Ethereum для перевірки сторони виклику.

За даними Decurity, спочатку зловмисник брутфорсом зламав vanity-адресу і надав необхідні аргументи для емісії необхідної кількості токенів, оскільки значення amount вказує на контрольовану адресу. Потім він замінив реальну підвантажувану адресу пулу Uniswap на свій гаманець. Багаторазово викликаючи цю функцію він повністю спустошив TVL протоколу, додали в TenArmorAlert.

Аналітик SupLabsYi з компанії Supremacy дійшов висновку, що атака демонструє потенційну вразливість безпеки тимчасового сховища Ethereum. Цю функцію додали в мережу під час торішнього оновлення Dencun з метою зниження комісійних витрат.

«Це не просто загроза, спрямована на окремий екземпляр uniswapV3SwapCallback», — зазначив експерт SupLabsYi, запропонувавши захистити функцію за допомогою додавання «контрольної точки стану».

Засновник протоколу SIR.trading під ніком Xatarrer схарактеризував злом як «найгіршу новину» з усіх можливих. Однак додав, що команда має намір спробувати зберегти протокол у робочому стані.

Експерти TenArmorSecurity зафіксували переміщення вкрадених активів на адресу Ethereum-міксера Railgun. Xatarrer звернувся до команди сервісу по допомогу в поверненні коштів.

SIR.trading позиціював себе як «новий DeFi-протокол для більш безпечного кредитного плеча». Документація проєкту містить попередження про можливі помилки в смартконтрактах, що здатні призвести до фінансових втрат.

Нагадаємо, у вересні 2024 року хакер скомпрометував деплой-адресу DAI практично у всіх L2-мережах.