هک پروتکل دیفای SIR.trading و از دست رفتن ۳۵۵ هزار دلار

پروتکل دیفای SIR.trading: از دست رفتن تمامی ارزش قفل شده ۳۵۵ هزار دلاری

پروتکل SIR.trading که به عنوان Synthetics Implemented Right شناخته می‌شود، به تازگی هدف یک هک بزرگ قرار گرفته است که منجر به از دست رفتن کل ارزش قفل شده‌اش معادل ۳۵۵ هزار دلار در زمان حمله شده است. بنیان‌گذار این پروتکل، که با نام مستعار Xatarrer شناخته می‌شود، این حادثه را به عنوان بدترین خبر ممکن برای هر پروتکلی توصیف کرده و ابراز امیدواری کرده است که تیمش قصد دارد با وجود این setback همچنان به فعالیت خود ادامه دهد.

جزئیات حمله: هک هوشمندانه و آسیب‌پذیری‌های قرارداد

این حمله در تاریخ ۳۰ مارس شناسایی شد و دو شرکت امنیت بلاک‌چین به نام‌های TenArmorAlert و Decurity، هشدارهایی را در شبکه اجتماعی X منتشر کردند تا کاربران را از این وضعیت آگاه کنند. Decurity به این هک به عنوان یک «حمله هوشمندانه» اشاره کرد که هدف آن استفاده از یک تابع callback در «Vault» آسیب‌پذیر پروتکل بود. این تابع به ویژگی ذخیره‌سازی موقت اتریوم وابسته است.

بر اساس گزارش Decurity، هکر توانسته است آدرس واقعی استخر Uniswap که در این تابع callback استفاده می‌شد را با آدرسی که تحت کنترل خود داشت، جایگزین کند. این اقدام به او اجازه داد تا وجوه موجود در Vault را به آدرس خود هدایت کند. TenArmorAlert توضیح داد که با فراخوانی مکرر این تابع callback، هکر توانست به طور کامل ارزش قفل شده پروتکل را تخلیه کند.

آسیب‌پذیری‌های جدید در اتریوم

SupLabsYi، یکی از کارشناسان شرکت امنیت بلاک‌چین Supremacy، به جزئیات بیشتری در مورد این حمله پرداخت و اشاره کرد که این اتفاق ممکن است نشان‌دهنده یک نقص امنیتی در ویژگی ذخیره‌سازی موقت اتریوم باشد. این ویژگی که با بروزرسانی Dencun سال گذشته به اتریوم اضافه شده، امکان ذخیره‌سازی موقت داده‌ها را فراهم می‌کند و به کاهش هزینه‌های گاز نسبت به ذخیره‌سازی معمولی کمک می‌کند.

SupLabsYi به این نکته اشاره کرد که این ویژگی هنوز در مراحل ابتدایی خود قرار دارد و این حمله ممکن است یکی از اولین مواردی باشد که از آسیب‌پذیری‌های آن بهره‌برداری کرده است.

او گفت: «این فقط یک تهدید برای یک نمونه خاص از uniswapV3SwapCallback نیست.»

کمک‌های احتمالی و آینده پروتکل

TenArmorSecurity اعلام کرد که وجوه دزدیده شده اکنون به آدرسی واریز شده است که از طریق راه‌حل حریم خصوصی اتریوم، Railgun، تأمین مالی شده است. Xatarrer پس از این حادثه به Railgun برای دریافت کمک مراجعه کرده است.

پروتکل SIR.trading به عنوان یک پروتکل جدید دیفای برای معاملات با اهرم ایمن‌تر معرفی شده بود. هدف آن رفع چالش‌های موجود در معاملات با اهرم، از جمله کاهش نوسانات و خطرات تصفیه، و ایجاد بستری ایمن‌تر برای سرمایه‌گذاری‌های بلندمدت بود. با این حال، مستندات این پروتکل همچنین به کاربر هشدار داده بود که با وجود انجام ممیزی‌ها، قراردادهای هوشمند آن ممکن است حاوی اشکالاتی باشد که منجر به ضررهای مالی شود.

چالش‌های امنیتی در دنیای دیفای

در حالی که حملات به پروتکل‌های دیفای در سال ۲۰۲۴ به ۴۰ درصد کاهش یافته است، نقض‌های امنیتی در حوزه CeFi به مرز ۶۹۴ میلیون دلار رسیده است. این واقعیت نشان می‌دهد که در حالی که دنیای دیفای در حال پیشرفت است، هنوز هم چالش‌های امنیتی جدی و قابل توجهی وجود دارد که باید به آن‌ها توجه شود.

در نهایت، پروتکل SIR.trading با وجود این حادثه تلخ، ممکن است به تلاش خود برای بهبود و ادامه فعالیت ادامه دهد. این اتفاق می‌تواند به عنوان یک درس برای سایر پروتکل‌های دیفای باشد تا در طراحی و پیاده‌سازی سیستم‌های خود بیشتر دقت کنند.