Protokol DeFi berasaskan Ethereum, SIR.trading, yang juga dikenali sebagai Synthetics Implemented Right, telah digodam, mengakibatkan kehilangan keseluruhan nilai terkunci (TVL) — $355,000 pada masa serangan.
Serangan pada 30 Mac itu pada mulanya dikesan oleh firma keselamatan blockchain TenArmorAlert dan Decurity, yang kedua-duanya menyiarkan amaran di X untuk memberi amaran kepada pengguna protokol tersebut.
Pengasas protokol, yang hanya dikenali sebagai Xatarrer, menggambarkan serangan itu sebagai “berita terburuk yang boleh diterima oleh protokol,” tetapi mencadangkan pasukan berhasrat untuk terus menjalankan protokol walaupun menghadapi cabaran ini.
Sumber: SIR.trading di X
“Serangan bijak” menyasarkan peti kontrak
Decurity menggambarkan serangan itu sebagai “serangan bijak” yang menyasarkan fungsi panggilan balik yang digunakan dalam “peti kontrak terdedah” protokol yang memanfaatkan ciri storan sementara Ethereum.
Menurut Decurity, penyerang dapat menggantikan alamat kolam Uniswap sebenar yang digunakan dalam fungsi panggilan balik ini dengan alamat di bawah kawalan penggodam, membolehkan mereka mengalihkan dana dalam peti ke alamat mereka. TenArmorAlert selanjutnya menjelaskan bahawa dengan memanggil fungsi panggilan balik ini berulang kali, penyerang dapat mengosongkan sepenuhnya TVL protokol.
Sumber: Decurity
SupLabsYi, dari firma keselamatan blockchain Supremacy, memberikan lebih perincian mengenai serangan itu dalam satu kiriman di X, menyatakan ia mungkin menunjukkan kelemahan keselamatan dalam storan sementara Ethereum.
Storan sementara telah ditambah kepada Ethereum dengan peningkatan Dencun tahun lalu. Ciri baru ini membolehkan penyimpanan data sementara yang membawa kepada yuran gas yang lebih rendah berbanding penyimpanan biasa.
Menurut SupLabsYi, ia masih merupakan “ciri baru,” dan serangan ini mungkin salah satu yang pertama mengeksploitasi kelemahannya.
“Ini bukan sekadar ancaman yang ditujukan kepada satu contoh uniswapV3SwapCallback,” kata SupLabsYi.
TenArmorSecurity mengatakan dana yang dicuri kini telah didepositkan ke dalam alamat yang dibiayai melalui penyelesaian privasi Ethereum Railgun. Xatarrer sejak itu telah menghubungi Railgun untuk mendapatkan bantuan.
Berkaitan: Serangan DeFi menurun 40% pada 2024, pelanggaran CeFi meningkat kepada $694M — Hacken
Dokumentasi SIR.trading menunjukkan bahawa ia diiklankan sebagai “protokol DeFi baru untuk leverage yang lebih selamat.” Tujuan yang dinyatakan bagi protokol ini ialah untuk menangani beberapa cabaran perdagangan leverage, “seperti kemerosotan volatiliti dan risiko pembubaran, menjadikannya lebih selamat untuk pelaburan jangka panjang.”
Walaupun ia bertujuan untuk perdagangan leverage yang lebih selamat, dokumentasi protokol ini memberi amaran kepada pengguna bahawa walaupun telah diaudit, kontrak pintarnya masih boleh mengandungi pepijat yang boleh menyebabkan kerugian kewangan — menyoroti peti platform sebagai kawasan yang terdedah.
“Pepijat atau eksploitasi yang tidak ditemui dalam kontrak pintar SIR boleh menyebabkan kerugian dana. Ini mungkin berpunca daripada logik kompleks dalam mekanik peti atau pengiraan leverage yang gagal dikesan oleh audit, mendedahkan pengguna kepada kegagalan yang jarang tetapi kritikal,” menurut dokumentasi projek tersebut.
Majalah: Apakah rollup asli? Panduan lengkap kepada inovasi terbaru Ethereum