30 березня DeFi-протокол SIR.trading у мережі Ethereum, також відомий як Synthetics Implemented Right, втратив $355 000 своєї TVL унаслідок злому. Першими на інцидент звернули увагу аналітики з TenArmorAlert і Decurity.
Останні повідомили, що метою «хитрої атаки» була функція «вразливого контракту Vault», яка використовує тимчасове сховище Ethereum для перевірки сторони виклику.
Synthetics Implemented Right @leveragesir has been hacked for $355k
This is a clever attack. In the vulnerable contract Vault (https://t.co/RycDbFY5Xq) there is a uniswapV3SwapCallback function that uses transient storage to verify the caller. Specifically, it loads an address… pic.twitter.com/u6PhksPV31
— Decurity (@DecurityHQ) March 30, 2025
За даними Decurity, спочатку зловмисник брутфорсом зламав vanity-адресу і надав необхідні аргументи для емісії необхідної кількості токенів, оскільки значення amount вказує на контрольовану адресу. Потім він замінив реальну підвантажувану адресу пулу Uniswap на свій гаманець. Багаторазово викликаючи цю функцію він повністю спустошив TVL протоколу, додали в TenArmorAlert.
The root cause lies in the transient storage collision in the uniswapV3SwapCallback function, which uses slot 1 both for the Uniswap pool address and the minted token amount.
The attacker initialized a malicious vault and manipulated the minted amount to exactly equal a… pic.twitter.com/198A5Wrsbq
— TenArmorAlert (@TenArmorAlert) March 30, 2025
Аналітик SupLabsYi з компанії Supremacy дійшов висновку, що атака демонструє потенційну вразливість безпеки тимчасового сховища Ethereum. Цю функцію додали в мережу під час торішнього оновлення Dencun з метою зниження комісійних витрат.
«Це не просто загроза, спрямована на окремий екземпляр uniswapV3SwapCallback», — зазначив експерт SupLabsYi, запропонувавши захистити функцію за допомогою додавання «контрольної точки стану».
Засновник протоколу SIR.trading під ніком Xatarrer схарактеризував злом як «найгіршу новину» з усіх можливих. Однак додав, що команда має намір спробувати зберегти протокол у робочому стані.
So we go the worst news a protocol could received and got hacked for our entire TVL ($355k).
I (@Xatarrer) would like to not throw the towel here as I truly believe in SIR.
If you also believe in the core protocol and have any idea on how to proceed forward, please DM. https://t.co/FD6QxwfXP4
— SIR.trading (🦍^🎩) (@leveragesir) March 30, 2025
Експерти TenArmorSecurity зафіксували переміщення вкрадених активів на адресу Ethereum-міксера Railgun. Xatarrer звернувся до команди сервісу по допомогу в поверненні коштів.
SIR.trading позиціював себе як «новий DeFi-протокол для більш безпечного кредитного плеча». Документація проєкту містить попередження про можливі помилки в смартконтрактах, що здатні призвести до фінансових втрат.
Нагадаємо, у вересні 2024 року хакер скомпрометував деплой-адресу DAI практично у всіх L2-мережах.