«Хитрая атака» на протокол SIR.trading привела к обнулению TVL

[TechnoLab]

30 марта DeFi-протокол SIR.trading в сети Ethereum, также известный как Synthetics Implemented Right, потерял $355 000 своего TVL в результате взлома. Первыми на инцидент обратили внимание аналитики из TenArmorAlert и Decurity.


Последние сообщили, что целью «хитрой атаки» была функция «уязвимого контракта Vault», которая использует временное хранилище Ethereum для проверки вызывающей стороны.

Synthetics Implemented Right @leveragesir has been hacked for $355k

This is a clever attack. In the vulnerable contract Vault (https://t.co/RycDbFY5Xq) there is a uniswapV3SwapCallback function that uses transient storage to verify the caller. Specifically, it loads an address… pic.twitter.com/u6PhksPV31

— Decurity (@DecurityHQ) March 30, 2025

По данным Decurity, вначале злоумышленник брутфорсом взломал vanity-адрес и предоставил необходимые аргументы для эмиссии требуемого количества токенов, поскольку значение amount указывает на контролируемый адрес. Затем он заменил реальный подгружаемый адрес пула Uniswap на свой кошелек. Многократно вызывая эту функцию он полностью опустошил TVL протокола, добавили в TenArmorAlert.

The root cause lies in the transient storage collision in the uniswapV3SwapCallback function, which uses slot 1 both for the Uniswap pool address and the minted token amount.

The attacker initialized a malicious vault and manipulated the minted amount to exactly equal a… pic.twitter.com/198A5Wrsbq

— TenArmorAlert (@TenArmorAlert) March 30, 2025

Аналитик SupLabsYi из компании Supremacy пришел к выводу, что атака демонстрирует потенциальную уязвимость безопасности временного хранилища Ethereum. Эту функцию добавили в сеть в ходе прошлогоднего обновления Dencun с целью снижения комиссионных издержек.

«Это не просто угроза, направленная на отдельный экземпляр uniswapV3SwapCallback», — отметил эксперт SupLabsYi, предложив защитить функцию посредством добавления «контрольной точки состояния».

Основатель протокола SIR.trading под ником Xatarrer охарактеризовал взлом как «худшую новость» из всех возможных. Однако добавил, что команда намерена попытаться сохранить протокол в рабочем состоянии.

So we go the worst news a protocol could received and got hacked for our entire TVL ($355k).

I (@Xatarrer) would like to not throw the towel here as I truly believe in SIR.

If you also believe in the core protocol and have any idea on how to proceed forward, please DM. https://t.co/FD6QxwfXP4

— SIR.trading (^) (@leveragesir) March 30, 2025

Эксперты TenArmorSecurity зафиксировали перемещение украденных активов на адрес Ethereum-миксера Railgun. Xatarrer обратился к команде сервиса за помощью в возврате средств.


SIR.trading позиционировал себя как «новый DeFi-протокол для более безопасного кредитного плеча». Документация проекта содержит предупреждение о возможных ошибках в смарт-контрактах, способных привести к финансовым потерям.


Напомним, в сентябре 2024 года хакер скомпрометировал деплой-адрес DAI практически во всех L2-сетях.