“Протокол Defi на основі Ethereum Sir.trading, також відомий як синтетика, реалізована право, був повністю осушений в експлуатації 30 березня, втративши всі 355 000 доларів від загальної вартості зафіксовано. Tenarmor, фірма з блокчейн, вперше повідомила про атаку на 30 березня. X. Тенармор позначив кілька підозрілих транзакцій і вказав на це”, – Напишіть: www.crypto.news
Протокол Defi на основі Ethereum Sir.trading, також відомий як синтетика, реалізована право, був повністю осушений в експлуатації 30 березня, втративши всі 355 000 доларів від загальної вартості зафіксовано.
Tenarmor, фірма з блокчейн, вперше повідомила про атаку на 30 березня. X. Tenarmor позначив кілька підозрілих транзакцій і вказав, що викрадені кошти були перенесені до Railgun, платформи конфіденційності, яка допомагає приховати транзакції.
Пізніше, висновок про платформу безпеки виявив, що хакер скористався недоліком у контракті Сер. Традінг, зокрема у функції під назвою “Uniswapv3swapcallback”. Рятувальниця називала хак як “розумну атаку”.
В іншому x пост, дослідник блокчейна Yi пояснив, що вразливість була пов’язана з тим, як перевіряють транзакції. Зазвичай він повинен дозволяти лише транзакціям з пулу Uniswap (UNI) або іншого надійного джерела.
Однак договір покладався на перехідне зберігання, тимчасову техніку зберігання, яка була введена в оновлення Ethereum (ETH) EIP-1153, також відомий як жорстка вилка Денкуна.
Проблема? Перехідне зберігання скидається лише після закінчення транзакції, але договір маніпулював хакером, що перезаписав важливі дані безпеки, поки він ще працював. Хакер продовжував обдурити контракт до довіри їх фальшивої адреси.
.@leveragesir got hacked just now for $354k due a clever exploit targeting transient storage in a Vault contract’s uniswapV3SwapCallback. I think this is a groundbreaking case—How did it happen? What was the root cause? Now disappear into the darkness. 🧵👇 https://t.co/WBQDRHGzWl
— Yi (@SuplabsYi) March 30, 2025
Вони зробили це шляхом жорстокого примушення унікальної адреси суєти, що дозволило контракту зареєструвати свою фальшиву адресу як законну. Потім хакер використовував власний контракт для вилучення всіх коштів із склепіння сера Традінга.
Анонімний творець сера. Вони попросили відгуки про спільноту, що робити далі, і висловили зацікавленість у відновленні, незважаючи на збитки.
Оскільки ця атака може бути однією з перших випадків хакерів, що використовують цю нову функцію Ethereum у реальному світі, вона викликає питання щодо безпеки перехідного зберігання. Експерти з питань безпеки застерігають, що якщо розробники не вбудують більш сильні гарантії у свої розумні контракти, можуть виникати подібні напади.