Inilah bagaimana protokol DeFi SIR.trading kehilangan seluruh $355k TVL akibat eksploitasi

Penyerang telah mengeksploitasi Synthetics Implemented Right, sebuah protokol keuangan terdesentralisasi di blockchain Ethereum, yang mengakibatkan protokol kehilangan seluruh total nilai terkunci (TVL).

Dikenal sebagai SIR.trading, protokol tersebut kehilangan sekitar $355.000 dalam serangan 30 Maret, dengan data DeFiLlama mengonfirmasi bahwa TVL-nya sejak itu telah turun menjadi nol.

SIR.trading telah memposisikan dirinya sebagai "protokol DeFi baru untuk leverage yang lebih aman," dengan tujuan mengurangi risiko seperti penurunan volatilitas dan likuidasi

Bagaimana SIR.trading dieksploitasi?

Perusahaan keamanan blockchain Decurity menyebut insiden tersebut sebagai "serangan cerdas" yang mengeksploitasi kerentanan dalam kontrak brankas protokol.

Masalah tersebut terkait dengan fungsi uniswapV3SwapCallback, yang memanfaatkan penyimpanan sementara Ethereum, sebuah fitur baru yang diperkenalkan dalam upgrade Dencun tahun lalu.

Menurut perusahaan itu, penyerang berhasil mengganti alamat pool Uniswap yang sah dalam fungsi callback ini dengan milik mereka sendiri, memungkinkan mereka untuk mengalihkan dana vault.

Logika brankas tidak memvalidasi sumber callback dengan benar, dan penggunaan penyimpanan sementara memungkinkan penyerang memanipulasi data sementara di tengah transaksi.

Dengan terus-menerus memanggil fungsi yang rentan, mereka berhasil menguras semua aset dari brankas.

Dalam komentar pasca-insiden yang terpisah, peneliti blockchain SupLabsYi dari Supremacy menyoroti bahwa serangan tersebut mungkin telah mengekspos masalah yang lebih luas dengan penyimpanan sementara Ethereum itu sendiri.

Dia menjelaskan bahwa penyimpanan sementara hanya direset setelah transaksi selesai, memungkinkan penyerang untuk menimpa data keamanan kritis sebelum fungsi selesai dieksekusi, menambahkan:

Apa yang mencolok adalah bahwa penyimpanan sementara, yang diperkenalkan melalui EIP-1153 dalam hard fork Dencun, masih merupakan fitur yang baru.

Ini mungkin menjadi salah satu serangan dunia nyata pertama yang memanfaatkan kerentanannya dan dapat menandakan perubahan lebih lanjut dalam tren serangan.

Dalam kasus ini, penyerang berhasil melakukan brute-force pada alamat vanity untuk membuat kolam palsu terlihat sah dan menggunakan kontrak khusus untuk menyelesaikan eksploitasi.

TenArmor, sebuah firma riset blockchain lainnya dan salah satu yang pertama kali mengungkapkan insiden tersebut di X, menambahkan bahwa dana yang dicuri tersebut dengan cepat ditransfer ke alamat yang didanai melalui platform privasi Ethereum, Railgun.

Pendiri proyek, yang mengidentifikasi sebagai Xatarrer, telah menghubungi Railgun untuk meminta bantuan.

Dalam pesan sebelumnya kepada komunitas, Xatarrer menggambarkan eksploitasi tersebut sebagai “berita terburuk yang bisa diterima oleh sebuah protokol,” tetapi mereka mengatakan terbuka untuk membangun kembali dan meminta umpan balik tentang langkah selanjutnya.

Eksploitasi DeFi tetap menjadi ancaman yang konsisten

Seiring dengan inovasi DeFi, begitu pula taktik para penyerang, dengan SIR.trading kini bergabung dalam daftar protokol yang dieksploitasi dalam beberapa minggu terakhir.

Pada 19 Maret, Four.Meme, sebuah platform peluncuran memecoin berbasis BNB Chain, menghentikan fitur peluncuran tokennya setelah adanya kerentanan kritis dalam salah satu fungsi protokol yang memungkinkan penyerang untuk memanipulasi kontrak pintar platform tersebut.

Sebelum serangan ini, Four.Meme mengalami serangan lain pada 11 Februari, yang juga menyebabkan penghentian sementara dari likuiditas tokennya di PancakeSwap.

Pada bulan yang sama, protokol pinjaman terdesentralisasi zkLend telah dikuras lebih dari $9 juta setelah apa yang dijelaskan oleh pengembang sebagai eksploitasi pasar kosong.

Menurut laporan Januari dari perusahaan keamanan web3 PeckShield, pada tahun 2024, protokol defi adalah yang paling menjadi target.

Investor crypto kehilangan $3,01 miliar, membuat peningkatan sekitar 15% dari tahun sebelumnya.

Pos Ini tentang bagaimana protokol DeFi SIR.trading kehilangan seluruh TVL $355k-nya akibat eksploitasi muncul pertama kali di Invezz