هک کامل SIR.trading: سرقت ۳۵۵ هزار دلاری در یک چشم به هم زدن
مفاهیم کلیدی- هک کامل SIR.trading با از دست رفتن ۳۵۵ هزار دلار
- سوء استفاده از نقص در قرارداد Vault با استفاده از تابع "uniswapV3SwapCallback"
- هشدار کارشناسان امنیتی درباره تکرار حملات مشابه بدون تدابیر امنیتی قویتر
پروتکل DeFi SIR.trading پس از هک، کل ۳۵۵ هزار دلار دارایی خود را از دست داد
پروتکل DeFi مبتنی بر اتریوم SIR.trading، که به عنوان Synthetics Implemented Right نیز شناخته میشود، در تاریخ ۳۰ مارس به طور کامل مورد هک قرار گرفت و تمام ۳۵۵ هزار دلار از ارزش کل قفل شده خود را از دست داد. شرکت امنیت بلاکچین TenArmor اولین بار این حمله را در یک پست در شبکه اجتماعی X در ۳۰ مارس گزارش کرد. TenArmor چندین تراکنش مشکوک را شناسایی کرد و اشاره کرد که وجوه سرقتی به RailGun، یک پلتفرم حریم خصوصی که به مخفی کردن تراکنشها کمک میکند، منتقل شده است.
نقص در قرارداد Vault
بعداً، پلتفرم امنیتی Decurity فاش کرد که هکر از یک نقص در قرارداد Vault SIR.trading، به طور خاص در یک تابع به نام "uniswapV3SwapCallback" سوءاستفاده کرده است. Decurity این هک را یک "حمله هوشمندانه" توصیف کرد. در یک پست دیگر در X، محقق بلاکچین Yi توضیح داد که این آسیبپذیری به نحوه تأیید تراکنشها توسط قرارداد مربوط میشود. به طور معمول، قرارداد باید فقط تراکنشها را از یک استخر Uniswap (UNI) یا منبع قابل اعتماد دیگر مجاز بداند. با این حال، قرارداد به ذخیرهسازی موقت، یک تکنیک ذخیرهسازی موقت که در ارتقاء EIP-1153 اتریوم (ETH) معرفی شده بود، متکی بود.
مشکل در ذخیرهسازی موقت
مشکل این بود که ذخیرهسازی موقت تنها پس از پایان یک تراکنش بازنشانی میشود، اما هکر توانست دادههای امنیتی مهم را در حین اجرای تراکنش بازنویسی کند. هکر سپس قرارداد را فریب داد تا آدرس جعلی آنها را به عنوان یک آدرس معتبر بپذیرد. آنها این کار را با ایجاد یک آدرس خاص و منحصر به فرد انجام دادند که به قرارداد اجازه میداد آدرس جعلی آنها را به عنوان یک آدرس قانونی ثبت کند. سپس هکر از یک قرارداد سفارشی برای تخلیه تمام وجوه از Vault SIR.trading استفاده کرد.
واکنش جامعه و نگرانیهای امنیتی
خالق ناشناس SIR.trading، Xatarrer، پس از وقوع حمله آن را تأیید کرد و آن را "بدترین خبری که یک پروتکل میتواند دریافت کند" نامید. آنها از جامعه درخواست بازخورد در مورد اقدامات بعدی کردند و علاقه خود را به بازسازی پروتکل علیرغم این خسارت ابراز کردند. از آنجا که این حمله ممکن است یکی از اولین موارد سوءاستفاده هکرها از این ویژگی جدید اتریوم در دنیای واقعی باشد، سؤالاتی را در مورد امنیت ذخیرهسازی موقت ایجاد میکند. کارشناسان امنیتی هشدار میدهند که اگر توسعهدهندگان اقدامات حفاظتی قویتری را در قراردادهای هوشمند خود ایجاد نکنند، حملات مشابه ممکن است تکرار شوند.
📊 لیست ۱۰ بروکر معتبر فارکس برای ایرانیان 🇮🇷
بهترین بروکرهای فارکس برای ترید و سرمایهگذاری امن را بشناسید!
در این مقاله، ۱۰ بروکر برتر با امکاناتی مانند اسپرد پایین، امنیت بالا، و پشتیبانی ۲۴ ساعته بررسی شدهاند.
🔥 اگر به دنبال بهترین گزینه برای شروع ترید هستید، همین حالا کلیک کنید و بروکر مناسب خود را انتخاب کنید!
👇 کلیک کنید!
