SIR.trading DeFi Protokolü, $355.000 Kayıpla Hacklendi

Ethereum tabanlı DeFi protokolü SIR.trading (Synthetics Implemented Right), 30 Mart'ta gerçekleşen bir saldırı sonucu tamamen hacklendi. Saldırı, protokolün toplam kilitli değerini (TVL) olan 355.000 doların kaybolmasına yol açtı. Blockchain güvenlik firmaları TenArmorAlert ve Decurity, saldırıyı ilk tespit edenler arasında yer aldı ve kullanıcıları uyarmak için X'te paylaşımlar yaptı.

Protokolün kurucusu Xatarrer, durumu "bir protokolün alabileceği en kötü haber" olarak nitelendirdi. Ancak, yaşananlara rağmen protokolü devam ettirme niyetinde olduklarını belirtti. Decurity, saldırıyı, protokolün "savunmasız Vault" sözleşmesinde kullanılan bir geri çağırma fonksiyonunu hedef alan "akıllı bir saldırı" olarak tanımladı. Saldırgan, bu fonksiyonda kullanılan gerçek Uniswap havuz adresini, kendi kontrolündeki bir adresle değiştirerek fonları kendi adresine yönlendirdi. TenArmorAlert, saldırganın bu geri çağırma fonksiyonunu defalarca çağırarak protokolün TVL'sini tamamen boşalttığını açıkladı.

Blockchain güvenlik firması Supremacy'den SupLabsYi, saldırıya ilişkin daha fazla detay paylaşarak, bunun Ethereum'un geçici depolama özelliğindeki bir güvenlik açığını gösterebileceğini belirtti. Geçici depolama, geçen yılki Dencun yükseltmesiyle Ethereum'a eklenmişti ve düzenli depolamaya göre daha düşük gaz ücretlerine olanak sağlıyor. SupLabsYi'ye göre, bu henüz "yeni bir özellik" ve saldırı, bu özelliklerin zayıflıklarını kullanan ilk saldırılardan biri olabilir. Çalınan fonların, Ethereum gizlilik çözümü Railgun aracılığıyla finanse edilen bir adrese yatırıldığı belirtildi. Xatarrer, yardım için Railgun ile iletişime geçti.

SIR.trading'in dokümantasyonunda, platformun "daha güvenli kaldıraç" için yeni bir DeFi protokolü olarak tasarlandığı belirtiliyordu. Platformun amacı, kaldıraçlı işlemlerdeki volatilite ve likidasyon riskleri gibi zorlukları ele alarak "uzun vadeli yatırım" için daha güvenli bir ortam sağlamaktı. Ancak, platformun dokümantasyonunda, denetlenmiş olmasına rağmen, akıllı sözleşmelerin hala finansal kayıplara yol açabilecek hatalar içerebileceği konusunda kullanıcılar uyarılıyordu. Özellikle platformun vault'larının bu açıdan risk taşıdığı vurgulanıyordu.

Sonuç olarak, SIR.trading'in yaşadığı hack olayı, DeFi protokollerinin güvenlik açıklarına karşı ne kadar savunmasız olabileceğini bir kez daha gözler önüne seriyor. Kullanıcıların, akıllı sözleşmelerin potansiyel risklerini dikkate alarak platformları kullanmaları ve güvenlik denetimlerinin önemini anlamaları gerekiyor.