SIR.trading遭受黑客攻击,创始人Xatarrer恳求归还资金以拯救协议。
基于Ethereum的DeFi协议SIR.trading,也被称为Synthetics Implemented Right,近期遭遇了一次严重的SIR.trading黑客攻击,导致其全部总锁定价值(TVL)——攻击发生时价值355,000美元——损失殆尽。
黑客攻击的发现与响应
3月30日的SIR.trading黑客攻击最初由区块链安全公司TenArmorAlert和Decurity发现,两家公司均在X上发布了警告,提醒协议用户注意。该协议的创始人,仅以Xatarrer为人所知,将此次黑客攻击描述为“一个协议能收到的最坏消息”,但暗示团队打算尽管遭遇挫折,仍努力让协议继续运行。
“巧妙攻击”针对合约保险库
Decurity将此次SIR.trading黑客攻击描述为一次“巧妙攻击”,攻击目标是协议“易受攻击的合约Vault”中使用的回调函数,该函数利用了Ethereum的临时存储功能。据Decurity称,攻击者能够将回调函数中使用的真实Uniswap池地址替换为攻击者控制下的地址,从而能够将保险库中的资金重定向到他们的地址。
- TenArmorAlert进一步解释说,通过反复调用此回调函数,攻击者能够完全耗尽协议的TVL。
- SupLabsYi在X帖子中更详细地描述了这次攻击,称这可能展示了Ethereum临时存储中的安全漏洞。
临时存储是在去年的Dencun升级中添加到Ethereum的。这一新功能允许临时存储数据,从而比常规存储降低燃气费。据SupLabsYi称,这仍然是一个“新生的功能”,这次SIR.trading黑客攻击可能是首次利用其漏洞的攻击之一。
“这不仅仅是对uniswapV3SwapCallback单个实例的威胁,”SupLabsYi说。
被盗资金的去向与团队的应对措施
TenArmorSecurity表示,被盗资金现已存入通过Ethereum隐私解决方案Railgun资助的地址。Xatarrer已联系Railgun寻求帮助。
相关: 2024年DeFi黑客攻击下降40%,CeFi违规激增至6.94亿美元——Hacken
SIR.trading的安全警告与未来展望
SIR.trading的文档显示,它被宣传为“一个更安全的杠杆DeFi协议”。该协议的既定目的是解决杠杆交易中的一些挑战,“如波动性衰减和清算风险,使其对长期投资更安全”。然而,尽管它旨在实现更安全的杠杆交易,但该协议的文档确实警告用户:
- 智能合约可能包含未发现的错误或漏洞:这些可能导致资金损失。“这些可能源于保险库机制或杠杆计算中的复杂逻辑,”项目的文档指出。
- 特别强调了平台的保险库是一个特别脆弱的区域:使用户暴露于罕见但关键的失败中。”
阅读原文
Cointelegraph: DeFi protocol SIR.trading loses entire $355K TVL in ‘worst news’ possible
Blockchain security researchers say the hack could be one of the first real-world attacks targeting transient storage that was introduced during Ethereum’s Dencun hard fork.
相关词条
- SIR.trading: 一个基于Ethereum的DeFi协议,全称为Synthetics Implemented Right,旨在提供更安全的杠杆交易解决方案。
- TVL: 总锁定价值(Total Value Locked),指在DeFi协议中锁定的资产总价值,是衡量协议规模和用户信任度的重要指标。
- 临时存储: Ethereum在Dencun升级中引入的新功能,允许临时存储数据以降低燃气费,但可能带来新的安全漏洞。
- Railgun: 一个Ethereum隐私解决方案,用于匿名化交易和资金流动,黑客攻击后被盗资金被存入通过Railgun资助的地址。
- 原生rollups: Ethereum的最新创新之一,旨在通过特定的技术改进提高网络的可扩展性和效率,与DeFi和智能合约的安全密切相关。
可能问题
- DeFi协议SIR.trading遭遇的黑客攻击是如何利用Ethereum的临时存储功能的?
- 为什么Ethereum的临时存储功能会成为黑客攻击的目标?
- SIR.trading协议创始人Xatarrer为何称此次攻击为‘最坏消息’,团队有何应对计划?
- 区块链安全公司Decurity和TenArmorAlert是如何发现并描述这次黑客攻击的?
- SIR.trading协议在文档中警告用户关于智能合约漏洞的风险,这对DeFi项目的安全性有何启示?
