Nhà sáng lập SIR.trading cầu xin hacker trả lại 255.000 đô la trong số 355.000 đô la bị đánh cắp

Người sáng lập của gần đây đã bị xâm phạmgiao thức tài chính phi tập trung (DeFi) SIR.trading đã đưa ra lời kêu gọi chân thành tới kẻ tấn công, thúc giục họ trả lại 70%tiền bị đánh cắp để tránh sự sụp đổ của giao thức.

Trong mộtTin nhắn onchain ngày 31 tháng 3 “Xatarrer,” người sáng lập ẩn danh, đã cầu xin tin tặc sau vụ khai thác trị giá 355.000 đô la vào ngày 30 tháng 3:

“Đây là đề xuất của tôi, hãy giữ lại 100.000 đô la như một phần chia công bằng cho việc tìm ra lỗi quan trọng của bạn và trả lại số còn lại.”

Thêm vào:

“Chúng ta sẽ hòa. Không có trò chơi pháp lý, không có kịch tính.”

Xatarrer chia sẻ rằng giao thức này được xây dựng trong hơn bốn năm viết mã vào đêm khuya và được tài trợ 70.000 đô la từ bạn bè và những người ủng hộ, mà không cần bất kỳ vốn đầu tư mạo hiểm bên ngoài nào:

“Chúng tôi đã tăng trưởng lên 400.000 đô la TVL một cách tự nhiên mà không cần bất kỳ quảng cáo nào. Nếu bạn giữ lại 100% tiền, chúng tôi sẽ không có cơ hội tồn tại.”

Bất chấp sự mất mát đau thương, Xatarrer vẫn khen ngợi sự tinh vi của vụ tấn công, mô tả nó là "gần như tuyệt đẹp nếu không có tất cảtiền mà mọi người đã mất."

Tuy nhiên, tin tặc vẫn chưa phản hồi và đã chuyển tài sản bị đánh cắp qua giao thức bảo mật Ethereum, Railgun,như được thể hiện bởi dữ liệu từ Etherscan.

Ban đầu, Xatarrer bày tỏ sự lạc quan, tuyên bố nhóm sẽ tiếp tục vận hành SIR.trading bất chấp sự cố.

Ngày 1 tháng 4, tuyên bố:

“Chúng tôi đã bắt đầu lên kế hoạch cho các bước tiếp theo. Những người bị ảnh hưởng bởi vụ hack sẽ không bị lãng quên.”

Tính năng mới trong bản nâng cấp Dencun của Ethereum bị khai thác trong vụ hack gần đây

Tin tặc đã khai thác lỗ hổng trong hợp đồng “Vault” của SIR.trading, dựa trên tính năng lưu trữ tạm thời mới được giới thiệu của Ethereum từ bản nâng cấp Dencun vào tháng 3 năm 2024.

Bằng cách thao túng một hàm gọi lại, kẻ tấn công đã thay thế hàm hợp lệUniswap một địa chỉ nhóm với một địa chỉ do họ kiểm soát, cho phép họ chuyển hướng tiền vào ví của riêng họ.

Kẻ tấn công sau đó liên tục gọi hàm gọi lại, làm cạn kiệt tổng giá trị bị khóa (TVL) của giao thức cho đến khi toàn bộ tiền bị đánh cắp.

Tính năng lưu trữ tạm thời, được thiết kế để giảm phí gas so với lưu trữ thông thường, nhằm mục đích giúp các giao dịch tiết kiệm chi phí hơn nhưng vô tình mở ra cánh cửa cho lỗ hổng này.

SIR.trading, được quảng cáo là giao thức DeFi đòn bẩy an toàn hơn nhằm giải quyết rủi ro biến động và thanh lý, hiện đã bị ảnh hưởng nghiêm trọng.

Trong tin tức liên quan, công ty bảo mật blockchain CertiK đã báo cáo sự sụt giảm tổng thểtổn thất tiền điện tử từ các vụ khai thác và lừa đảo, giảm xuống còn 28,8 triệu đô la vào tháng 3.

Trong số đó, 4,8 triệu đô la đã được thu hồi sau khi số tiền bị đánh cắp từ vụ tấn công 1inch Resolver được trả lại.