El protocolo DeFi basado en Ethereum SIR.trading, también conocido como Synthetics Implemented Right, ha sido hackeado, lo que ha provocado la pérdida de todo su valor total bloqueado (TVL): perdió 355.000 dólares en el momento del ataque.
El hackeo del 30 de marzo fue detectado inicialmente por las empresas de seguridad blockchain TenArmorAlert y Decurity, que publicaron advertencias en X para alertar a los usuarios del protocolo.
El fundador del protocolo, conocido únicamente como Xatarrer, describió el hackeo como "la peor noticia que un protocolo podría recibir [sic]", pero sugirió que el equipo tiene la intención de tratar de mantener el protocolo en marcha a pesar del contratiempo.
Fuente: SIR.trading on X
El "ataque inteligente" contra la bóveda de contratos
Decurity describió el hackeo como un "ataque inteligente" dirigido a una función de devolución de llamada utilizada en la "bóveda vulnerable de contratos" del protocolo, que aprovecha la función de almacenamiento transitorio de Ethereum.
Según Decurity, el atacante pudo sustituir la dirección real de la reserva de Uniswap utilizada en esta función de devolución de llamada por una dirección bajo su control, lo que le permitió redirigir los fondos de la bóveda a su dirección. TenArmorAlert explicó además que, llamando repetidamente a esta función de devolución de llamada, el atacante pudo vaciar por completo el TVL del protocolo.
Fuente: Decurity
SupLabsYi, de la empresa de seguridad blockchain Supremacy, entró en más detalles sobre el ataque en un post en X, afirmando que puede demostrar un fallo de seguridad en el almacenamiento transitorio de Ethereum.
El almacenamiento transitorio se añadió a Ethereum con la actualización Dencun del año pasado. La nueva función permite el almacenamiento temporal de datos, lo que conlleva unas tarifas de gas más bajas que el almacenamiento normal.
Según SupLabsYi, todavía es una "característica incipiente", y el ataque puede ser uno de los primeros en explotar sus vulnerabilidades.
“No se trata simplemente de una amenaza dirigida a una única instancia de uniswapV3SwapCallback", afirma SupLabsYi.
TenArmorSecurity dijo que los fondos robados ya se han depositado en una dirección financiada a través de la solución de privacidad de Ethereum Railgun. Xatarrer se ha puesto en contacto con Railgun para obtener ayuda.
La documentación de SIR.trading muestra que se anunciaba como "un nuevo protocolo DeFi para un apalancamiento más seguro". El propósito declarado del protocolo era abordar algunos de los retos de la negociación apalancada, "como la caída de la volatilidad y los riesgos de liquidación, haciéndola más segura para la inversión a largo plazo".
Aunque su objetivo era lograr una negociación apalancada más segura, la documentación del protocolo advertía a los usuarios que, a pesar de estar auditados, sus contratos inteligentes aún podían contener errores que podrían provocar pérdidas financieras, destacando las bóvedas de la plataforma como un área particular de vulnerabilidad.
"Los fallos o exploits no descubiertos en los contratos inteligentes de SIR podrían provocar pérdidas de fondos. Estos podrían provenir de una lógica compleja en la mecánica de las bóvedas o cálculos de apalancamiento que las auditorías no detectaron, exponiendo a los usuarios a fallos raros pero críticos", señala la documentación del proyecto.
Aclaración: La información y/u opiniones emitidas en este artículo no representan necesariamente los puntos de vista o la línea editorial de Cointelegraph. La información aquí expuesta no debe ser tomada como consejo financiero o recomendación de inversión. Toda inversión y movimiento comercial implican riesgos y es responsabilidad de cada persona hacer su debida investigación antes de tomar una decisión de inversión