Mittwoch, April 2, 2025

Hacker stiehlt den gesamten TVL von $355.000


Ein Hackerangriff auf das DeFi-Protokoll SIR.trading wirft entscheidende Fragen zur Sicherheit der neuen Funktion transient storage auf, die durch den Hard Fork Dencun im Ethereum-Netzwerk eingeführt wurde.

Hackerangriff auf DeFi bei SIR.trading: $355.000 in TVL gestohlen

Das DeFi-Protokoll Sir.Trading (Synthetics Implemented Right) wurde am 30. März von einem raffinierten Exploit getroffen, der zum Diebstahl des gesamten Total Value Locked (TVL) in Höhe von 355.000 Dollar führte.

Das Sicherheitsteam Tenar -Moralität hat den Angriff erkannt und bestätigt, dass der Hacker eine Schwachstelle in den Smart Contracts ausgenutzt hat, die mit dem neuen vorübergehenden Speicherverfahren verbunden sind, das auf Ethereum mit dem Dencun-Update eingeführt wurde. Auch Decurity, ein weiteres auf Auditing und Blockchain-Sicherheit spezialisiertes Unternehmen, hat die Warnung öffentlich verbreitet und so ein schnelles Bewusstsein in der DeFi-Community gefördert.

Xatarrer, der Gründer des Protokolls, hat den Vorfall auf X (ehemals Twitter) bestätigt und ihn als „die schlimmste Nachricht, die ein Protokoll erhalten kann“ bezeichnet. Trotz der Schwere des Vorfalls hat das Team die Absicht geäußert, zu versuchen, das Projekt fortzusetzen, obwohl sie das Vertrauen der Nutzer von Grund auf neu aufbauen müssen.

Wie der Exploit funktioniert: die Schwachstelle in der Callback-Funktion

Meer Dekorität hat der Exploit einen Smart Contract namens Vault getroffen, der den transienten Speicher nutzte, um die Gaskosten zu optimieren. Der verwundbare Vertrag enthielt eine Callback-Funktion, die der Hacker manipulieren konnte, indem er die Adresse des ursprünglichen Uniswap-Pools durch eine vom Angreifer kontrollierte ersetzte.

Die Funktion UNISWAPV3SWAPCallbackdie häufig zur Verwaltung automatisierter Handelsvorgänge verwendet wird, wurde mehrmals mit geänderten Parametern aufgerufen, wodurch es dem Angreifer ermöglicht wurde, die in der vault enthaltenen Gelder in eine eigene Wallet umzuleiten. Das Fehlen von Sicherheitskontrollen zur Authentizität des Uniswap-Pools hat den Missbrauch ermöglicht.

Diese Art des Angriffs fällt in die Kategorie der logischen Exploits, die nicht von offensichtlichen Fehler im Code abhängen, sondern von Entwurfsfehlern in der Interaktion zwischen mehreren Verträgen.

Ethereum Dencun und die aufkommenden Risiken des transienten Speichers

DerHardgabel DencunAnwesend der im März 2024 auf der Ethereum-Mainnet aktiviert wurde, hat neue Funktionen zur Verbesserung der Skalierbarkeit eingeführt, darunter den transient storage. Diese ermöglicht das temporäre Schreiben von Daten on-chain mit geringerem Gasverbrauch, bringt jedoch auch neue Angriffsflächen mit sich.

Laut dem Forscher SupLabsYi von Supremacy stellt dieser Angriff einen der ersten direkten Exploits im Zusammenhang mit der neuen Architektur dar:

„Es ist nicht nur ein Fehler in der Callback-Funktion, sondern ein Weckruf für die Nutzung des transitorischen Speichers.“

Das Problem, laut verschiedenen Analysten, ist, dass der transient storage keine Daten zwischen Transaktionen speichert, aber innerhalb einer einzigen Transaktionsausführung zugänglich sein kann, was unvorhersehbare Szenarien eröffnet, wenn sie schlecht implementiert ist.

Das Wallet des Hackers und die Anonymität mit Railgun

Die gestohlenen Gelder wurden an ein Wallet übertragen, das über Railgun betrieben wird, ein auf Datenschutz fokussiertes Ethereum-Protokoll. Der Gründer hat bereits das Railgun-Team kontaktiert, um zu versuchen, die Gelder zu verfolgen, aber die Chancen auf Wiederherstellung bleiben gering, auch aufgrund der datenschutzwahrenden Natur des Protokolls.

SIR.trading: vom „sicheren“ Leverage zum vollständigen Zusammenbruch

Das SIR.trading-Projekt hatte sich als DeFi-Plattform für sicheres Leverage-Trading positioniert und versprach Mechanismen zur Reduzierung der Risiken von Liquidation und Volatilität. Ein Disclaimer in den offiziellen Dokumenten warnte jedoch vor der Möglichkeit von Bugs und Exploits, selbst nach technischen Audits:

„Unentdeckte Bugs oder Exploits in den intelligenten Verträgen von SIR könnten zu Verlusten führen.“

Das Versprechen eines sichereren Leverage wurde tragischerweise durch einen Angriff widerlegt, der das gesamte Protokoll in die Knie gezwungen hat.

Implikationen für die DeFi und für Ethereum

Der Exploit bei SIR.trading hat entscheidende Implikationen:

• Hebt die Grenzen von Smart-Contract-Audits bei der Erkennung von Schwachstellen im Zusammenhang mit innovativen Funktionen hervor.

• Wirft Zweifel an der Reife des transient storage als sicheres Werkzeug auf.

• Die Debatte über die Notwendigkeit strengerer Sicherheitsstandards für aufkommende DeFi-Protokolle wird erneuert.

Der Fall von SIR.trading erinnert an frühere Episoden wie die von Euler Finance oder BadgerDAO, wo raffinierte Exploits auch als solide geltende Projekte getroffen haben. Im Gegensatz zu diesen befand sich SIR.trading jedoch noch in der Anfangsphase, was die reputations- und betriebsbezogenen Auswirkungen noch schwieriger zu überwinden machte.

Fazit: ein Weckruf für das gesamte Ethereum-Ökosystem

Der Angriff auf SIR.trading ist eine Warnung für Entwickler, Investoren und Nutzer:

Jede Innovation — wie die transient storage — kann kritische Schwachstellen verbergen, wenn sie nicht gründlich getestet wird.

Für diejenigen, die in DeFi bauen, ist eine neue Sicherheitskultur erforderlich. Für Investoren gilt immer die goldene Regel: Setzen Sie niemals mehr, als Sie bereit sind zu verlieren.


Dieser Beitrag ist ein öffentlicher RSS Feed. Sie finden den Original Post unter folgender – Link steht im Artikel – Quelle (Website) .

Unser Portal ist ein RSS-Nachrichtendienst und distanziert sich vor Falschmeldungen oder Irreführung. Unser Nachrichtenportal soll lediglich zum Informationsaustausch genutzt werden. Die auf dieser Website bereitgestellten Informationen stellen keine Finanzberatung dar und sind nicht als solche gedacht. Die Informationen sind allgemeiner Natur und dienen nur zu Informationszwecken. Wenn Sie Finanzberatung für Ihre individuelle Situation benötigen, sollten Sie den Rat von einem qualifizierten Finanzberater einholen. Kryptohandel hat ein großes Handelsrisiko was zum Totalverlust führen kann.

Ähnliche Artikel

- Advertisement -spot_img

Letzten Artikel