基于以太坊的Defi协议SIR.TRADING(也称为合成剂)已被黑客入侵,导致其整个总价值锁定(TVL)的损失(TVL) – 攻击时35.5万美元。
3月30日的黑客最初由区块链安全公司检测到 Tenar-道德 和 院子,两者都在X上发布了警告,以提醒用户该协议。
该协议的创始人(仅被称为Xatarrer)将黑客描述为“协议可能收到的最糟糕的新闻 [sic]”,但建议该团队尽管挫折,但仍打算尝试保持协议的进行。
来源: 先生
“聪明的攻击”目标合同保险库
院子 描述 该黑客作为“巧妙攻击”,其针对协议“脆弱合同库”中使用的回调功能,该函数利用以太坊的瞬态存储功能。
根据Descurity的说法,攻击者能够用黑客控制下的地址替换此回调功能中使用的真实Uniswap池地址,从而使他们可以将资金重定向到其地址。 tenarmoralert进一步 解释了 通过反复调用此回调功能,攻击者能够完全耗尽协议的TVL。
来源: 院子
来自区块链安全公司至高无上的Suplabsyi进入了更多 细节 在X帖子中的攻击时,指出它可能在以太坊的瞬态存储中证明了安全缺陷。
瞬态存储是 额外 去年的Dencun升级到以太坊。新功能允许与常规存储相比,暂时存储数据,导致汽油费降低。
根据 对于Suplabsyi来说,它仍然是一个“新生的功能”,攻击可能是第一个利用其脆弱性的攻击之一。
Suplabsyi说:“这不仅仅是针对uniswapv3swapcallback的单一实例的威胁。”
Tenarmorsecurity 说 现在将被盗的资金存入了通过以太坊隐私解决方案资助的地址。此后,Xatarrer与Railgun取得了帮助。
有关的: Defi Hacks在2024年下降了40%,CEFI违反激增至6.94亿美元 – Hacken
先生 文档 表明它被称为“更安全杠杆的新规定”。该协议的既定目的是应对杠杆交易的一些挑战,“例如波动性衰减和清算风险,使长期投资更安全。”
尽管它旨在进行更安全的杠杆交易,但协议的文档确实 警告 尽管经过审核,但其智能合约仍可能包含可能导致财务损失的错误 – 突出了平台的保险库作为特定的脆弱性领域。
该项目的文档指出:“爵士智能合约中未发现的错误或利用可能会导致资金损失。这些可能源于保险库机制中的复杂逻辑或利用审核未能捕获的计算,使用户陷入了罕见但重大的失败。”
