仮想通貨資産運用

SIR.trading、TVL全額を失ったエクスプロイトに10万ドルの報奨金を提供

2025年04月26日

SIR.trading の脆弱性は DeFi 攻撃の高度化を浮き彫りにしており、現在精査されている Ethereum の Dencun アップグレードに関連する脆弱性も含まれています。

分散型金融プロトコル SIR.trading が壊滅的な攻撃を受け、ロックされた総価値 (TVL) をすべて失い、創設者が残りの盗難資金の返還と引き換えに 10 万ドルの報奨金を公に提供することになりました。

🚨TenArmor Security Alert🚨

Our system has detected a suspicious attack involving #SIR.trading @leveragesir on #ETH, resulting in an approximately loss of $353.8K.

The stolen funds have been deposited into RailGun.

Attack transaction: https://t.co/W5SRnzKjDF… pic.twitter.com/e1OOQoKbhz
— TenArmorAlert (@TenArmorAlert) March 30, 2025

この攻撃により、プラットフォームから約35万5000ドルが流出し、イーサリアムの最近のDencunアップグレードに関する新たな懸念が浮上しました。

3月31日、SIR.tradingの匿名の創設者であるXatarrer氏はハッカーに対してオンチェーン嘆願を行いました。

SIR.trading、TVL全額を失ったエクスプロイトに10万ドルの報奨金を提供 — 出典: Etherscan

同氏は、この攻撃に使われた技術を認めつつ、壊滅的な経済的損失にもかかわらず、この攻撃を「ほとんど美しい」と評しました。

メッセージでは、攻撃者に脆弱性を発見した報酬として 10 万ドルを受け取るチャンスを提供し、残りを返還するよう要求していました。

Xatarrer氏は、SIR.tradingはベンチャーキャピタルが支援するプロジェクトではなく、友人や支援者から7万ドルの資金を得て4年かけて構築された草の根の取り組みであると強調しました。

We just texted the hacker.

If you (the hacker) are reading this, please keep in mind this is all the money we had. We had no VC backing. All was raised from regular folks on Twitter/X. pic.twitter.com/X4g1zJrynp
— SIR (🦍^🎩) (@leveragesir) March 31, 2025

同氏は、盗まれた資金がなければプラットフォームは存続できないと述べました。今のところ、攻撃者はこの嘆願に応じていません。

オンチェーンデータによると、盗まれた資産はすでに、取引の痕跡を隠蔽するように設計されたプライバシープロトコルであるレールガンを通じて送金されており、資金の回収はより困難になっています。

エクスプロイト: 一時ストレージの巧妙な操作

SIR.trading の悪用につながった脆弱性は、Dencun のアップグレードで導入された機能である Ethereum の一時ストレージに関連していました。

ブロックチェーンのセキュリティ専門家によって非常に洗練されていると説明されているこの攻撃は、SIR.trading の Vault 契約内の「uniswapV3SwapCallback」と呼ばれる機能を悪用したものです。

🚨TenArmor Security Alert🚨

Our system has detected a suspicious attack involving #SIR.trading @leveragesir on #ETH, resulting in an approximately loss of $353.8K.

The stolen funds have been deposited into RailGun.

Attack transaction: https://t.co/W5SRnzKjDF… pic.twitter.com/e1OOQoKbhz
— TenArmorAlert (@TenArmorAlert) March 30, 2025

この脆弱性を分析したブロックチェーンセキュリティ企業Decurityによると、攻撃者は一時ストレージを利用して、契約内での取引の検証方法を操作したといいます。

Synthetics Implemented Right @leveragesir has been hacked for $355k

This is a clever attack. In the vulnerable contract Vault (https://t.co/RycDbFY5Xq) there is a uniswapV3SwapCallback function that uses transient storage to verify the caller. Specifically, it loads an address… pic.twitter.com/u6PhksPV31
— Decurity (@DecurityHQ) March 30, 2025

正当な Uniswap プールだけがスワップを実行できるようにする代わりに、契約はハッカーが管理する偽の Uniswap プールアドレスを信頼するように騙されました。

これは、一時ストレージがトランザクションの終了後にのみリセットされ、攻撃者が実行中にセキュリティパラメータを変更できるため可能になりました。

ブロックチェーン研究者のYi氏によるさらなる分析により、攻撃者がバニティアドレスをブルートフォース攻撃し、それが契約の予想されるパラメータと一致することを確認したことが明らかになりました。

.@leveragesir got hacked just now for $354k due a clever exploit targeting transient storage in a Vault contract’s uniswapV3SwapCallback. I think this is a groundbreaking case—How did it happen? What was the root cause? Now disappear into the darkness. 🧵👇 https://t.co/WBQDRHGzWl
— Yi (@SuplabsYi) March 30, 2025

これにより、SIR.trading の金庫からすべての資産が流出し、TVL 全体が消失しました。

ザタレル氏はこの攻撃の壊滅的な性質を認め、「プロトコルが受け取る可能性のある最悪のニュース」と呼びました。

彼は損失にもかかわらず、再建への決意を表明し、次にとるべきステップについて地域住民に意見を求めました。

DeFiエクスプロイトの増加傾向

SIR.trading の脆弱性は、分散型金融セクター内でセキュリティ侵害が増加するという広範な傾向の一部です。

SIR.tradingへの攻撃のわずか6日前には、分散型融資プロトコルAbracadabra.Moneyを狙った別の大規模な攻撃が発生し、1,300万ドルの損失が発生しました。

3 月 25 日に PeckShield によって検出された Abracadabra エクスプロイトは、特に GMX トークンを使用するプールを標的としていました。

攻撃者は、Abracadabra のスマートコントラクトインフラストラクチャの脆弱性を悪用して 6,260 ETH を流出させました。

これは、1月に649万ドルの損失が発生し、マジックインターネットマネー（MIM）ステーブルコインがデバッグされたことに続き、2024年のプラットフォームでの2回目の大規模な侵害となりました。

同様に、2024年2月には、暗号通貨セクターの損失は約15億3,000万ドルとなり、1月に報告された9,800万ドルの損失から1,500%という驚異的な増加となりました。

#CertiKStatsAlert 🚨

Combining all the incidents in February, we’ve confirmed ~$1.5B lost to exploits, hacks and scams.

The Bybit incident is the largest we have recorded since the Ronin Bridge exploit in 2022 which was also conducted by Lazarus.

More details below 👇 pic.twitter.com/n1fv9x0YNh
— CertiK Alert (@CertiKAlert) February 28, 2025

最大の損失は、北朝鮮のラザルス・グループによるものとされる、2月21日のバイビットのハッキングによって引き起こされました。

この攻撃により約14億ドルが流出し、史上最大の暗号通貨ハッキングの一つとなりました。

現状では、Xatarrer 氏はハッカーが懸賞金の申し出を受け入れるだろうと期待しているが、盗まれた資金の多くは決して回収できないかもしれないというのが現実です。