去中心化金融協議SIR.trading損失全部35.5萬美元的總鎖倉價值,成為“最壞的消息”
以太坊基礎的去中心化金融(DeFi)協議SIR.trading,亦稱為Synthetics Implemented Right,近日遭到黑客攻擊,導致其在攻擊時的全部總鎖倉價值(TVL)— 35.5萬美元 — 全部損失。
這宗於3月30日發生的黑客攻擊最初由區塊鏈安全公司TenArmorAlert和Decurity檢測到,兩家公司在社交媒體平台X上發佈警告,提醒用戶注意該協議的安全問題。
該協議的創始人Xatarrer形容這次攻擊為“協議可能收到的最壞消息”,但他表示團隊仍會努力維持協議的運作,儘管面臨這次挫折。
“巧妙的攻擊”針對合約金庫
Decurity將這次攻擊形容為一個“巧妙的攻擊”,其目標是協議中“易受攻擊的合約金庫”所使用的回調函數,該函數利用了以太坊的瞬時存儲特性。
根據Decurity的說法,攻擊者能夠將回調函數中使用的真實Uniswap池地址替換為其控制下的地址,從而將金庫中的資金重定向到自己的地址。TenArmorAlert進一步解釋,通過不斷調用這個回調函數,攻擊者得以完全抽走協議的總鎖倉價值。
來自區塊鏈安全公司Supremacy的SupLabsYi在X上詳細介紹了這次攻擊,並指出這可能顯示出以太坊瞬時存儲的安全缺陷。
瞬時存儲是在去年Dencun升級中加入以太坊的。這一新特性允許臨時存儲數據,從而比常規存儲收取更低的燃料費。
根據SupLabsYi的說法,這仍然是一個“新興特性”,而這次攻擊可能是首個利用其漏洞的案例。
“這不僅僅是針對單一的uniswapV3SwapCallback的威脅,”SupLabsYi表示。TenArmorSecurity表示,盜取的資金目前已經存入一個通過以太坊隱私解決方案Railgun資助的地址。Xatarrer已經聯繫Railgun尋求協助。
SIR.trading的願景與風險
SIR.trading的文檔顯示,它被宣傳為“一個更安全的槓桿交易的新DeFi協議”。該協議的目的是解決槓桿交易的一些挑戰,例如波動性衰減和清算風險,讓長期投資變得更安全。
儘管旨在提供更安全的槓桿交易,該協議的文檔仍警告用戶,儘管經過審計,其智能合約仍可能存在導致財務損失的漏洞,特別是平臺的金庫被標示為一個脆弱的區域。
“在SIR的智能合約中未被發現的漏洞或攻擊可能導致資金損失。這些可能源於金庫機制或槓桿計算中的複雜邏輯,審計未能發現,從而使用戶面臨罕見但關鍵的失敗風險,”該項目的文檔指出。
這次事件突顯了去中心化金融領域中安全性的重要性,尤其是隨著新技術的引入,對其潛在漏洞的認識和應對措施必須隨之加強。隨著DeFi生態系統的發展,如何平衡創新與安全將成為未來的一大挑戰。這不僅是對SIR.trading的警示,也是對整個行業的一次反思,提醒所有參與者在追求高回報的同時,必須加強風險管理和安全防範。
以上文章由特價GPT API KEY所翻譯及撰寫。而圖片則由FLUX根據內容自動生成。
, 今日有咩可以幫到你? 