Le protocole DeFi Sir. Trading a subi une chute de son TVL, tombant de 355 000 $ à zéro après une attaque
Une attaque ciblée révèle les failles du protocole DeFi
Le 30 mars, DeFiProtocol a été victime d'une attaque qui a conduit à la perte de 355 000 $ de sa valeur totale verrouillée. Cette situation alarmante a été mise en lumière par Tenarmor, une entreprise spécialisée dans la sécurité des blockchains. Sur son compte X, Tenarmor a rapporté plusieurs transactions suspectes et noté que les fonds dérobés avaient été transférés vers Railgun, une plateforme dédiée à préserver l'anonymat des transactions.
La vulnérabilité exploitée provient du contrat Sir.Trading
La plateforme DeCurity a ensuite analysé l'attaque et conclu qu'elle avait exploité un défaut présent dans le contrat intelligent de Sir.Trading, plus précisément dans la fonction appelée « UniSwapv3SwapCallback ». Le piratage est qualifié comme étant une « attaque intelligente ». Selon Yi, un chercheur en blockchain ayant partagé ses réflexions sur X, cette vulnérabilité découle d'une vérification inadéquate des transactions au sein du contrat. En général, seules les transactions provenant d'un pool Uniswap (UNI) ou d'autres sources fiables devraient être autorisées. Cependant, ce n'était pas le cas ici.
Le stockage transitoire : un point faible pour les contrats intelligents
La faille majeure réside dans l'utilisation du stockage transitoire mis en place lors de la mise à niveau EIP-1153 d'Ethereum (ETH), également connue sous le nom de Dencun Hard Fork. Le problème avec cette technique est qu'elle ne se réinitialise qu'après l'achèvement d'une transaction. En manipulant ce processus pendant que la transaction était encore en cours, le pirate a pu écraser des données essentielles pour faire passer sa fausse adresse pour légitime.
Un piratage sans précédent soulève des inquiétudes majeures
Pour réussir son coup audacieux, le pirate s'est servi d'une adresse unique créée par force brute afin que le contrat valide cette adresse comme légitime. Il a ensuite utilisé un contrat personnalisé pour siphonner tous les fonds du coffre-fort de Sir.Trading. Xatarrer, créateur anonyme derrière Sir.Trading, n'a pas tardé à reconnaître l'attaque et l'a qualifiée « des pires nouvelles qu'un protocole puisse recevoir ». Il s'est tourné vers sa communauté pour obtenir des conseils sur les prochaines étapes tout en exprimant son souhait de reconstruire malgré cette perte significative.
