Así es como el protocolo DeFi SIR.trading perdió su totalidad de $355k TVL debido a un exploit.

Los atacantes han explotado Synthetics Implemented Right, un protocolo de finanzas descentralizadas en la Blockchain Ethereum, llevando a que el protocolo perdiera su valor total bloqueado (TVL).

Conocido como SIR.trading, el protocolo perdió alrededor de $355,000 en el ataque del 30 de marzo, con datos de DeFiLlama que confirman que su TVL ha caído a cero.

SIR.trading se ha posicionado como "un nuevo protocolo DeFi para un apalancamiento más seguro", con el objetivo de reducir riesgos como la disminución de la volatilidad y la liquidación.

¿Cómo se explotó SIR.trading?

La firma de seguridad en Blockchain Decurity calificó el incidente como un "ataque ingenioso" que explotó una vulnerabilidad en el contrato de la bóveda del protocolo.

El problema estaba relacionado con la función uniswapV3SwapCallback, que aprovecha el almacenamiento transitorio de Ethereum, una nueva característica introducida en la actualización Dencun del año pasado.

Según la empresa, el atacante logró reemplazar la dirección del pool legítimo de Uniswap en esta función de devolución de llamada por la suya, lo que les permitió redirigir los fondos del vault.

La lógica de la bóveda no validó correctamente la fuente de la devolución de llamada, y el uso de almacenamiento transitorio permitió al atacante manipular datos temporales en medio de la transacción.

Al llamar repetidamente a la función vulnerable, pudieron drenar todos los activos de la bóveda.

En un comentario separado posterior al incidente, el investigador de blockchain SupLabsYi de Supremacy destacó que el ataque podría haber expuesto un problema más amplio con el almacenamiento transitorio de Ethereum en sí.

Explicó que el almacenamiento transitorio solo se restablece después de que finaliza la transacción, lo que permite al atacante sobrescribir datos críticos de seguridad antes de que la función termine de ejecutarse, añadiendo:

Lo que llama la atención es que el almacenamiento transitorio, introducido a través de EIP-1153 en el hard fork Dencun, sigue siendo una característica nascent.

Este puede ser uno de los primeros ataques en el mundo real que explota sus vulnerabilidades y puede señalar cambios adicionales en las tendencias de ataque.

En este caso, el atacante pudo forzar una dirección de vanidad para hacer que el pool falso pareciera legítimo y utilizó un contrato personalizado para completar la explotación.

TenArmor, otra firma de investigación en blockchain y una de las primeras en señalar el incidente en X, agregó que los fondos robados fueron transferidos rápidamente a una dirección financiada a través de la plataforma de privacidad de Ethereum Railgun.

El fundador del proyecto, que se identifica como Xatarrer, ha contactado a Railgun para pedir asistencia.

En un mensaje anterior a la comunidad, Xatarrer describió el exploit como "la peor noticia que un protocolo podría recibir", pero dijo que estaban abiertos a la reconstrucción y pidió comentarios sobre los próximos pasos.

Los exploits de DeFi siguen siendo una amenaza constante

A medida que DeFi continúa innovando, también lo hacen las tácticas de los atacantes, con SIR.trading ahora uniéndose a una lista de protocolos explotados en las últimas semanas.

El 19 de marzo, Four.Meme, una plataforma de lanzamiento de memecoins basada en BNB Chain, suspendió su función de lanzamiento de tokens después de que una vulnerabilidad crítica en una de las funciones del protocolo permitiera a un atacante manipular el contrato inteligente de la plataforma.

Antes de este ataque, Four.Meme sufrió otro ataque el 11 de febrero, que también llevó a la suspensión temporal de su piscina de liquidez de tokens en PancakeSwap.

Durante el mismo mes, el protocolo de préstamos descentralizado zkLend fue drenado de más de $9 millones tras lo que los desarrolladores describieron como un exploit de mercado vacío.

Según un informe de enero de la firma de seguridad web3 PeckShield, en 2024, los protocolos defi fueron los más atacados.

Los inversores de criptomonedas perdieron $3.01 mil millones, lo que representa un aumento de aproximadamente el 15% con respecto al año anterior.

La publicación Aquí se explica cómo el protocolo DeFi SIR.trading perdió su totalidad de $355k TVL debido a un exploit apareció primero en Invezz