SIR트레이딩遭遇35.5万美元资金窃取攻击，以太坊Dencun升级漏洞引关注

近日，去中心化金融协议SIR트레이딩(SIR.trading)遭遇重大安全攻击，导致全部托管资产损失。该事件不仅使SIR트레이딩陷入生存危机，更引发了业界对以太坊最新Dencun升级相关漏洞的新一轮担忧。

创始人悬赏10万美元求返还资金

3月31日，SIR트레이딩匿名创始人Xatarrer在链上向黑客发出公开呼吁。尽管面临巨额财务损失，Xatarrer仍将此次攻击技术形容为"近乎完美"，并承认攻击者的能力。他提出向攻击者支付10万美元作为漏洞发现的奖励，以换取剩余资金的返还。

Xatarrer透露，SIR트레이딩是一个历时四年打造的自发项目，并非获得风险投资支持的企业。该项目从朋友和支持者处筹集了7万美元资金。他强调，若无法追回被盗资金，平台将难以继续运营。截至目前，攻击者尚未对此提议作出回应。

根据链上数据显示，被盗资产已通过隐私协议Railgun进行处理，这使得资金追回工作更加困难。

此次攻击利用了以太坊Dencun升级中引入的临时存储(transient storage)功能。区块链安全专家认为，这是一次极其精密的攻击，攻击者通过滥用SIR트레이딩的Vault合约中的"uniswapV3SwapCallbacK"函数得手。

区块链安全公司Decurity的分析指出，攻击者利用临时存储功能操纵了合约内的交易验证方式。他们欺骗合约信任由黑客控制的虚假Uniswap池地址，而非确保合约仅执行合法的Uniswap池交换。这种攻击之所以能够成功，是因为临时存储仅在交易完成后才会重置，使得攻击者能够在执行过程中修改安全参数。

区块链研究员Yi的进一步分析显示，攻击者通过暴力破解方式生成了与合约预期参数匹配的虚拟地址，从而成功窃取了SIR트레이딩 Vault的全部资产，导致所有托管资产被清空。

Xatarrer承认此次攻击的破坏性，称这是"协议可能面临的最坏消息"。尽管如此，他仍表达了重建的决心，并向社区征求下一步行动的建议。

SIR트레이딩事件是去中心化金融领域日益增长的安全漏洞趋势的一部分。就在此次攻击发生前6天，另一个重大攻击事件导致去中心化借贷协议Abracadabra.Money损失1300万美元。

根据PeckShield于3月25日监测到的信息，Abracadabra攻击特别针对使用GMX代币的池。攻击者利用该平台智能合约基础设施的漏洞，窃取了6,260 ETH。这是继平台稳定币Magic Internet Money(MIM)贬值导致649万美元损失后，2024年第二大安全事件。

类似地，2024年2月，加密货币领域共损失约15.3亿美元，较1月报告的9800万美元损失增长了1500%。其中最大的单笔损失是2月21日Bybit遭黑客攻击事件，约14亿美元被盗，据信是朝鲜Lazarus集团所为，成为有史以来最大的加密货币黑客攻击之一。

目前，Xatarrer仍在等待黑客接受悬赏提议，但现实情况是，这些被盗资金中的大部分可能永远无法追回。