Het jonge DeFi-platform SIR.trading is volledig onderuitgehaald na een hack waarbij ruim $355.000 aan crypto werd buitgemaakt. De oprichter richt zich nu rechtstreeks tot de aanvaller, met een opvallend verzoek:

“Hou $100.000 als beloning, maar geef de rest terug. Anders gaan we eraan.”

Geen VC-geld, geen advertenties — wél een droom

Volgens oprichter Xatarrer is SIR.trading gebouwd op vier jaar doorwerken in de nachtelijke uurtjes, gefinancierd met geleend geld van vrienden. Het project groeide zonder marketing of venture capital-organisaties naar een TVL (Total Value Locked) van zo’n $400.000. En toen sloeg de hacker toe.

“Als je alles houdt, hebben we geen schijn van kans om te overleven,” schrijft Xatarrer in een on-chain bericht. “Maar als je $255.000 terugstuurt, zien we het als een soort bounty. Geen rechtszaken, geen gezeur.”

Hack via nieuwe Ethereum-feature

De aanval maakte gebruik van een kwetsbaarheid in de zogenaamde “Vault” van het platform. De hacker wist een slimme truc toe te passen via transient storage — een functie die in maart werd toegevoegd aan Ethereum met de Dencun-upgrade. Het idee achter transient storage is om tijdelijk gegevens op te slaan tegen lagere gas fees, maar in dit geval gaf het de aanvaller precies de opening die nodig was.

Door het slimme herschrijven van een callback-functie, werd het adres van een echte Uniswap-pool vervangen door het adres van de hacker zelf. Vervolgens werd de functie eindeloos aangeroepen tot de hele vault leeg was.

Geld verdwijnt via privacytool

De gestolen fondsen zijn inmiddels verplaatst via Railgun, een tool waarmee transacties op Ethereum onzichtbaar worden gemaakt. Daarmee is de kans klein dat het spoor nog te volgen is. Tot nu toe heeft de hacker niet gereageerd op het verzoek van Xatarrer.

“Bijna mooi… als het geen andermans geld was”

Ondanks alles blijft Xatarrer opvallend mild. In zijn bericht noemt hij de hack “bijna mooi”, vanwege de technische uitvoering. Maar tegelijk benadrukt hij de impact op gebruikers: “We zullen de mensen die geld zijn verloren niet vergeten.”

SIR.trading was opgezet om veiliger te handelen met leverage, en wilde problemen zoals plotselinge liquidaties of waardeverlies bij hoge volatiliteit aanpakken. Ironisch genoeg werd het platform zelf slachtoffer van de risico’s die het wilde voorkomen.

Lichtpuntje: minder hacks in maart

Volgens blockchainbeveiliger CertiK liep de schade door crypto-exploits in maart op tot zo’n $28,8 miljoen. Dat is een stuk minder dan in februari, toen onder meer de grote Bybit-hack plaatsvond. In sommige gevallen keren hackers het geld zelfs terug, zoals bij het 1inch-incident. Of SIR.trading op dat lijstje terechtkomt, is nog maar de vraag.

Voor nu lijkt het lot van het platform in handen van één persoon te liggen — en dat is niet de oprichter.