Slimme hack legt SIR.trading volledig plat: $355.000 foetsie
Een nieuwe functie binnen Ethereum blijkt niet alleen handig voor lagere transactiekosten, maar ook gevoelig voor slimme aanvallen. Dat ondervond het DeFi-protocol SIR.trading dit weekend aan den lijve, toen hackers het volledige vermogen van het platform wisten leeg te trekken.
Nieuwe Ethereum-functie blijkt zwakke plek
SIR.trading – voluit Synthetics Implemented Right – draaide op Ethereum en beheerde op het moment van de aanval zo’n $355.000 aan crypto-assets. Dat bedrag is op 30 maart in één klap verdwenen door een gerichte aanval op een kwetsbare functie in het smart contract van het platform.
De kwetsbaarheid zat in de manier waarop SIR.trading gebruikmaakte van transient storage – een tijdelijke opslagfunctie die sinds de Dencun-upgrade van Ethereum beschikbaar is. Deze functie werd geïntroduceerd om transacties goedkoper te maken, maar lijkt nu ook nieuwe risico’s met zich mee te brengen.
Zo werkten de hackers
Volgens blockchainbeveiligers van Decurity en TenArmorAlert wisten de hackers slim gebruik te maken van een zogenoemde callback-functie in het contract. Die functie verwees naar een Uniswap-pool, maar de aanvaller wist het echte adres te vervangen door zijn eigen wallet. Door de functie meerdere keren aan te roepen, werd de hele kluis leeggehaald.
Onderzoeker SupLabsYi van beveiligingsbedrijf Supremacy spreekt van een waarschuwing voor ontwikkelaars die met transient storage werken. Volgens hem is dit een van de eerste aanvallen waarbij deze nieuwe functie daadwerkelijk wordt misbruikt.
“Dit gaat verder dan één specifieke bug. Het is een fundamenteel risico,” stelt hij.
Privacytool als afleidingsmanoeuvre
De buitgemaakte fondsen zijn inmiddels overgeboekt naar een wallet die is aangemaakt via Railgun, een privacytool op Ethereum waarmee transacties anoniem blijven. De oprichter van SIR.trading, die online bekendstaat als Xatarrer, heeft contact gezocht met Railgun in de hoop de fondsen alsnog te kunnen traceren.
Ondanks het relatief kleine bedrag – zeker vergeleken met eerdere DeFi-hacks – is deze aanval vooral technisch gezien interessant. Het toont aan dat nieuwe blockchainfeatures, hoe nuttig ook, ook nieuwe aanvallen mogelijk maken.
Wat is transient storage?
Dit is een nieuwe vorm van tijdelijke opslag op Ethereum die alleen tijdens een enkele transactie beschikbaar is. Het bespaart kosten, maar biedt ook nieuwe aanvalsmogelijkheden als het niet goed wordt toegepast.
👉 Tip: Experimenteer je zelf met DeFi? Zorg dat je werkt via betrouwbare exchanges zoals Bitvavo, of gebruik de Web3-wallet van OKX om nieuwe protocollen te verkennen – maar altijd met verstand van risico’s.
