Ethereum tabanlı DeFi protokolü SIR.trading, Sentetik Uygulanan Hak olarak da bilinir, saldırıya uğradı ve saldırı sırasında kilitlenen toplam değerinin (TVL) tamamı kaybedildi. Saldırı sırasında 355.000 dolar civarındaydı.
30 Mart saldırısı ilk olarak blockchain güvenlik şirketleri TenArmorAlert ve Decurity tarafından tespit edildi ve her ikisi de protokolün kullanıcılarını uyarmak için X’e uyarılar gönderdi.
Protokolün kurucusu, yalnızca Xatarrer olarak biliniyordu, saldırıyı “bir protokolün alabileceği en kötü haber [sic]” olarak tanımladı, ancak ekibin aksiliklere rağmen protokolü devam ettirmeye çalışmayı planladığını öne sürdü.
Kaynak: SIR.trading on X
“Akıllı saldırı” sözleşme kasasını hedef aldı
Decurity saldırıyı, Ethereum’un geçici depolama özelliğini kullanan protokolün “güvenlik açığı olan sözleşme kasasında” kullanılan bir geri arama işlevini hedef alan “akıllı saldırı” olarak tanımladı.
Decurity’ye göre saldırgan, bu geri arama işlevinde kullanılan gerçek Uniswap havuz adresini, bilgisayar korsanının kontrolündeki bir adresle değiştirebildi ve bu da kasadaki fonları kendi adreslerine yönlendirmelerine olanak tanıdı. TenArmorAlert ayrıca saldırganın bu geri arama işlevini tekrar tekrar çağırarak protokolün TVL’sini tamamen boşaltabildiğini açıkladı.
Kaynak: Decurity
Blockchain güvenlik firması Supremacy’den SupLabsYi, X gönderisinde saldırı hakkında daha ayrıntılı bilgi vererek, bunun Ethereum’un geçici depolamasında bir güvenlik açığı gösterebileceğini belirtti.
Geçici depolama, Ethereum’a geçen yılki Dencun yükseltmesiyle eklendi. Yeni özellik, verilerin geçici olarak depolanmasına olanak tanıyarak normal depolamadan daha düşük gaz ücretlerine yol açıyor.
SupLabsYi’ye göre, bu hala “yeni bir özellik” ve saldırı, güvenlik açıklarını istismar eden ilk saldırılardan biri olabilir.
“Bu, yalnızca uniswapV3SwapCallback’in tek bir örneğini hedef alan bir tehdit değil.”
TenArmorSecurity, çalınan fonların artık Ethereum gizlilik çözümü Railgun aracılığıyla finanse edilen bir adrese yatırıldığını söyledi. Xatarrer o zamandan beri yardım için Railgun’a ulaştı.
SIR.trading’in belgeleri, bunun “daha güvenli kaldıraç için yeni bir DeFi protokolü” olarak faturalandırıldığını gösteriyor. Protokolün belirtilen amacı, kaldıraçlı ticaretin bazı zorluklarını ele almaktı, “oynaklık azalması ve likidasyon riskleri gibi, uzun vadeli yatırım için daha güvenli hale getirmek.”
Daha güvenli kaldıraçlı ticaret hedeflenirken, protokolün belgeleri kullanıcıları denetlenmesine rağmen akıllı sözleşmelerinin hala finansal kayıplara yol açabilecek hatalar içerebileceği konusunda uyardı ve platformun kasalarını belirli bir güvenlik açığı alanı olarak vurguladı.
“SIR’nin akıllı sözleşmelerindeki keşfedilmemiş hatalar veya istismarlar fon kayıplarına yol açabilir. Bunlar, denetimlerin yakalayamadığı kasa mekaniğindeki karmaşık mantıktan veya kaldıraç hesaplamalarından kaynaklanabilir ve kullanıcıları nadir ancak kritik hatalara maruz bırakabilir,” diyor projenin belgeleri.
(っ◔◡◔)っ ♥ KAYNAK ♥
