USD

AED

AFN

ALL

AMD

ANG

AOA

ARS

AUD

AWG

AZN

BAM

BBD

BDT

BGN

BHD

BIF

BMD

BND

BOB

BRL

BTN

BWP

BYN

BZD

CAD

CDF

CHF

CLF

CLP

CNH

CNY

COP

CRC

CUC

CUP

CVE

CZK

DJF

DKK

DOP

DZD

EGP

ERN

ETB

EUR

FJD

FKP

GBP

GEL

GHS

GIP

GMD

GNF

GTQ

GYD

HKD

HNL

HRK

HTG

HUF

IDR

ILS

IMP

INR

ISK

JMD

JOD

JPY

KES

KGS

KHR

KMF

KPW

KRW

KWD

KYD

KZT

LAK

LBP

LKR

LRD

LSL

LYD

MAD

MDL

MGA

MKD

MMK

MNT

MOP

MRO

MRU

MUR

MVR

MWK

MXN

MYR

MZN

NAD

NGN

NIO

NOK

NPR

NZD

OMR

PAB

PEN

PGK

PHP

PKR

PLN

PYG

QAR

RON

RSD

RUB

RWF

SAR

SBD

SCR

SDG

SEK

SGD

SHP

SLL

SRD

SSP

STD

STN

SVC

SYP

SZL

THB

TJS

TMT

TND

TOP

TRY

TTD

TWD

TZS

UAH

UGX

UYU

UZS

VES

VND

VUV

WST

ZAR

ZMW

ZWL

Forklog 2025-03-31 08:59:39

«Хитрая атака» на протокол SIR.trading привела к обнулению TVL

30 марта DeFi-протокол SIR.trading в сети Ethereum, также известный как Synthetics Implemented Right, потерял $355 000 своего TVL в результате взлома. Первыми на инцидент обратили внимание аналитики из TenArmorAlert и Decurity. Последние сообщили, что целью «хитрой атаки» была функция «уязвимого контракта Vault», которая использует временное хранилище Ethereum для проверки вызывающей стороны. Synthetics Implemented Right @leveragesir has been hacked for $355kThis is a clever attack. In the vulnerable contract Vault (https://t.co/RycDbFY5Xq) there is a uniswapV3SwapCallback function that uses transient storage to verify the caller. Specifically, it loads an address… pic.twitter.com/u6PhksPV31— Decurity (@DecurityHQ) March 30, 2025 По данным Decurity, вначале злоумышленник брутфорсом взломал vanity-адрес и предоставил необходимые аргументы для эмиссии требуемого количества токенов, поскольку значение amount указывает на контролируемый адрес. Затем он заменил реальный подгружаемый адрес пула Uniswap на свой кошелек. Многократно вызывая эту функцию он полностью опустошил TVL протокола, добавили в TenArmorAlert. The root cause lies in the transient storage collision in the uniswapV3SwapCallback function, which uses slot 1 both for the Uniswap pool address and the minted token amount.The attacker initialized a malicious vault and manipulated the minted amount to exactly equal a… pic.twitter.com/198A5Wrsbq— TenArmorAlert (@TenArmorAlert) March 30, 2025 Аналитик SupLabsYi из компании Supremacy пришел к выводу, что атака демонстрирует потенциальную уязвимость безопасности временного хранилища Ethereum. Эту функцию добавили в сеть в ходе прошлогоднего обновления Dencun с целью снижения комиссионных издержек. «Это не просто угроза, направленная на отдельный экземпляр uniswapV3SwapCallback», — отметил эксперт SupLabsYi, предложив защитить функцию посредством добавления «контрольной точки состояния». Основатель протокола SIR.trading под ником Xatarrer охарактеризовал взлом как «худшую новость» из всех возможных. Однако добавил, что команда намерена попытаться сохранить протокол в рабочем состоянии. So we go the worst news a protocol could received and got hacked for our entire TVL ($355k).I (@Xatarrer) would like to not throw the towel here as I truly believe in SIR.If you also believe in the core protocol and have any idea on how to proceed forward, please DM. https://t.co/FD6QxwfXP4— SIR.trading (🦍^🎩) (@leveragesir) March 30, 2025 Эксперты TenArmorSecurity зафиксировали перемещение украденных активов на адрес Ethereum-миксера Railgun. Xatarrer обратился к команде сервиса за помощью в возврате средств. SIR.trading позиционировал себя как «новый DeFi-протокол для более безопасного кредитного плеча». Документация проекта содержит предупреждение о возможных ошибках в смарт-контрактах, способных привести к финансовым потерям. Напомним, в сентябре 2024 года хакер скомпрометировал деплой-адрес DAI практически во всех L2-сетях.

Related News

VanEck Files for First U.S. Binance Coin (BNB) ETF...
02 Apr 2025
Ripple Locks 700M XRP in Escrow, XRP Price Dips 1....
02 Apr 2025
From Hype to Trust: How Regulatory Rails Are Drivi...
02 Apr 2025
UNUS SED LEO Price Prediction 2025, 2026 – 2030: W...
02 Apr 2025
Japan’s Banking Giant SMBC Plans Stablecoin Launch...
02 Apr 2025
SEC Seeks 60-Day Delay in Gemini Lawsuit: Is a Res...
02 Apr 2025

Read the Disclaimer : All content provided herein our website, hyperlinked sites, associated applications, forums, blogs, social media accounts and other platforms (“Site”) is for your general information only, procured from third party sources. We make no warranties of any kind in relation to our content, including but not limited to accuracy and updatedness. No part of the content that we provide constitutes financial advice, legal advice or any other form of advice meant for your specific reliance for any purpose. Any use or reliance on our content is solely at your own risk and discretion. You should conduct your own research, review, analyse and verify our content before relying on them. Trading is a highly risky activity that can lead to major losses, please therefore consult your financial advisor before making any decision. No content on our Site is meant to be a solicitation or offer.

«Хитрая атака» на протокол SIR.trading привела к обнулению TVL

Most Read News

Related News