来源: Cointelegraph原文: 《{title}》

基于以太坊的DeFi协议SIR.trading（全称 Synthetics Implemented Right）遭遇黑客攻击，导致其总锁仓价值（TVL）被盗，损失金额达35.5万美元（攻击发生时的数值）。  

此次攻击发生于3月30日，最早由区块链安全公司TenArmorAlert和Decurity发现，并在X平台上发布警告，以提醒用户注意风险。  

该协议的创始人Xatarrer（化名）称此次攻击是“协议可能遭遇的最糟糕的消息”，但他表示，尽管面临这一挫折，团队仍计划继续推进协议的运营。

资料来源：X上的SIR.trading

“巧妙的攻击”瞄准了合约金库

Decurity将此次攻击描述为“巧妙的攻击”，其目标是协议中使用以太坊临时存储功能的“易受攻击的合约金库”中的回调函数。

根据Decurity的说法，攻击者能够将回调函数中使用的真实Uniswap池地址替换为其控制的地址，从而将金库中的资金重定向到攻击者的地址。 TenArmorAlert进一步解释称，通过反复调用该回调函数，攻击者成功地完全清空了协议的TVL。

来源: Decurity

SupLabsYi，来自区块链安全公司Supremacy，在X平台上详细分析了此次攻击，表示这可能揭示了以太坊临时存储的安全漏洞。

临时存储功能是在去年Dencun升级中加入以太坊的。该新功能允许临时存储数据，从而比常规存储的交易费用更低。

根据SupLabsYi的说法，这仍是一个“新兴功能”，此次攻击可能是第一个利用其漏洞的实例。

SupLabsYi表示：“这不仅仅是针对单一实例uniswapV3SwapCallback的威胁。”

TenArmorSecurity表示，被盗资金现在已经被存入通过以太坊隐私解决方案Railgun资助的地址。Xatarrer随后已联系Railgun寻求帮助。

SIR.trading的文档显示，该协议被宣传为“一个更安全的杠杆交易新DeFi协议”。协议的目标是解决杠杆交易中的一些挑战，“如波动衰减和清算风险，使长期投资更安全。”

尽管旨在提供更安全的杠杆交易，但协议文档警告用户，尽管经过审计，其智能合约仍可能存在漏洞，从而导致财务损失——特别指出平台的金库是一个易受攻击的区域。

“在SIR的智能合约中，未发现的漏洞或攻击可能导致资金损失。这些问题可能源自金库机制或杠杆计算中的复杂逻辑，而审计未能发现，从而使用户暴露于罕见但致命的失败中，”项目文档中写道。

相关推荐：Android恶意软件“Crocodilus”可以控制手机窃取加密货币

免责声明：本文章仅代表作者个人观点，不代表本平台的立场和观点。本文章仅供信息分享，不构成对任何人的任何投资建议。用户与作者之间的任何争议，与本平台无关。如网页中刊载的文章或图片涉及侵权，请提供相关的权利证明和身份证明发送邮件到support@aicoin.com，本平台相关工作人员将会进行核查。