Основатель недавно взломанного децентрализованного финансового протокола SIR.trading обратился с эмоциональным призывом к хакеру, прося вернуть около 70% украденных средств клиентов. В случае, если эти средства не будут возвращены, протокол, по словам основателя, не сможет выжить. В сообщении, опубликованном 31 марта, анонимный основатель под псевдонимом »Xatarrer» предложил хакеру оставить $100,000 в качестве «справедливой доли» за обнаружение критической уязвимости и вернуть оставшуюся сумму. Xatarrer отметил, что SIR.trading был создан за четыре года упорного труда и на средства друзей и сторонников, без привлечения венчурного капитала. Протокол достиг $400,000 в заблокированной стоимости без рекламы, и, по его словам, если хакер оставит все украденные средства, у компании не будет шансов на выживание. Хакер пока не ответил и уже перевел украденные средства через решение для обеспечения конфиденциальности Ethereum Railgun.
Эмоциональный призыв основателя SIR.trading к хакеру о возврате украденных средств
Основатель SIR.trading, выступая под псевдонимом “Xatarrer”, обратился к хакеру с эмоциональным призывом вернуть часть украденных средств. После взлома на сумму $355,000, Xatarrer предложил оставить хакеру $100,000 в качестве вознаграждения за обнаружение критической уязвимости, а остальную часть вернуть.Он подчеркнул, что без возврата этих средств протоколу не удастся выжить.“Мы назовем это честной сделкой. Без юридических игр, без драмы,” — добавил он.
Xatarrer рассказал, что на создание SIR.trading ушло четыре года ночного кодирования и $70,000, полученных от друзей и сторонников, без привлечения венчурного капитала. Несмотря на отсутствие рекламы, протокол достиг $400,000 в общей заблокированной стоимости (TVL).Основатель даже выразил уважение мастерству хакера, отметив, что взлом был “почти красивым, если бы не все потерянные средства пользователей.”
- Хакер использовал уязвимость в функции обратного вызова, применяемой в “уязвимом контракте Vault”, что позволило ему перенаправить средства на свой адрес.
- Функция обратного вызова использовала транзитное хранилище Ethereum, добавленное в обновлении Dencun в марте 2024 года.
- Средства были переведены через Ethereum-приватное решение Railgun, что усложняет их отслеживание.
Несмотря на взлом, команда SIR.trading планирует продолжать работу над проектом и не забывать о пострадавших. “Мы уже начали планировать наши следующие шаги,” — отметил Xatarrer.
Риски и последствия: как взлом SIR.trading угрожает выживанию протокола
В результате недавнего взлома протокола децентрализованного финансирования SIR.trading, его основатель сделал эмоциональное обращение к хакеру с просьбой вернуть около 70% украденных средств клиентов. Без возврата этих средств выживание протокола под угрозой.Основатель, известный под псевдонимом «Xatarrer», предложил хакеру оставить себе $100,000 в качестве награды за обнаружение критической уязвимости, а оставшиеся средства вернуть. Он подчеркнул, что без этих средств у протокола нет шансов выжить.
- Финансовая нестабильность: Без возврата украденных средств SIR.trading не сможет продолжать свою деятельность, что угрожает его дальнейшему существованию.
- Угрозы для репутации: Взлом может нанести серьезный ущерб доверию пользователей и инвесторов к протоколу.
- Проблемы безопасности: Использование уязвимых функций, таких как транзитное хранилище ethereum, требует пересмотра и усиления мер безопасности.
Хакер использовал уязвимость в функции обратного вызова, добавленной в результате обновления Ethereum Dencun, что позволило ему перенаправить средства из хранилища на свой адрес. Несмотря на сложившуюся ситуацию,команда SIR.trading планирует продолжать работу и не забывает о пострадавших пользователях. Однако, без возврата значительной части средств, будущее протокола остается под вопросом.
Технические детали атаки: уязвимость в контракте vault и ее последствия для DeFi
В результате недавнего инцидента с протоколом SIR.trading, который привел к потере $355,000, выявилась серьезная уязвимость в контракте Vault. Атака была осуществлена через функцию обратного вызова, использующую новую функцию временного хранения Ethereum, введенную в обновлении Dencun.Хакер смог заменить настоящий адрес пула Uniswap на адрес под своим контролем, что позволило ему перенаправить средства из хранилища на свой адрес, многократно вызывая эту функцию, пока все средства не были выведены.
Технические аспекты атаки:
- Использование функции обратного вызова в уязвимом контракте Vault.
- Замена адреса пула Uniswap на адрес, контролируемый хакером.
- Повторный вызов функции для полного опустошения средств протокола.
Эта уязвимость подчеркивает риски, связанные с новыми функциями в блокчейне, такими как временное хранение, которое было добавлено для снижения газовых сборов. Несмотря на сложность атаки, основатель SIR.trading, Xatarrer, отметил ее изящество и предложил хакеру оставить $100,000 в качестве награды за обнаружение критической ошибки. Однако без возврата оставшихся средств протоколу грозит исчезновение, так как он был создан без венчурного капитала и рос органически.
Подведение итогов
основатель децентрализованного финансового протокола SIR.trading, известный под псевдонимом «Xatarrer», обратился к хакеру с просьбой вернуть около 70% похищенных средств, чтобы обеспечить выживание проекта. В своем обращении он выразил надежду, что хакер оставит себе $100,000 в качестве справедливой доли за обнаружение уязвимости, а остальные средства вернет. Xatarrer подчеркнул, что SIR.trading был создан благодаря четырем годам упорного труда и поддержке друзей, без привлечения венчурного капитала. Несмотря на произошедшее, команда SIR.trading продолжает планировать свои дальнейшие шаги и обещает не забыть о пострадавших. В то же время, хакер, похитивший $355,000, уже перевел средства через решение для обеспечения конфиденциальности Railgun и пока не отреагировал на призыв основателя. Важно отметить, что инцидент стал возможен из-за новой функции, добавленной в обновлении Ethereum Dencun, что подчеркивает необходимость повышения безопасности в сфере децентрализованных финансов.
Комментариев пока нет