DeFi protocol SIR.trading is op brute wijze gehackt en verloor in één klap zijn volledige total value locked (TVL) van $355.000. De aanval vond plaats op 30 maart 2025 en werd ontdekt door beveiligingsbedrijven zoals TenArmor en Decurity. Het incident laat zien hoe kwetsbaar de nieuwste DeFi platforms kunnen zijn, zeker als ze gebruikmaken van experimentele functies zoals Ethereum’s transient storage.
Ethereum (ETH) is verkrijgbaar bij Bitvavo en Bybit.
Kwetsbaarheid in transient storage
De aanval was bijzonder slim opgezet. In de kern draaide het om een kwetsbaarheid in de uniswapV3SwapCallback functie van het SIR.trading contract. Die functie gebruikt tijdelijk geheugen (transient storage) om te controleren of de transactie afkomstig is van een legitiem Uniswap pooladres.
Wat de hacker deed? Een zogeheten vanity address creëren dat precies overeenkomt met een tokenwaarde en die vervolgens gebruiken om de opslagplaats te overschrijven waar het legitieme Uniswap adres stond. Zo kon de hacker de controle overnemen en in meerdere rondes het volledige SIR vault leegtrekken.
Eerste grote hack met Ethereum’s Dencun upgrade
Deze aanval is mogelijk de eerste echte exploit van de nieuwe transient storage feature die werd toegevoegd met Ethereum’s Dencun upgrade. Transient storage moet normaal gesproken gas besparen, maar blijkt nu ook een potentieel doelwit voor hackers te zijn.
De gestolen fondsen zijn inmiddels verplaatst naar een privacy adres via Railgun, wat het moeilijker maakt om ze op te sporen. Oprichter Xatarrer heeft inmiddels contact gezocht met Railgun, maar een officiële verklaring of plan voor herstel blijft uit.
Meer informatie over Ethereum lees je hier.
Wat betekent dit voor DeFi?
SIR.trading werd in de markt gezet als een “veiliger alternatief” voor hefboomtrading. Ironisch genoeg was het juist de smart contract logica die fataal werd. Volgens de documentatie waren de vaults een kwetsbaar punt. Hoewel er audits waren uitgevoerd, waarschuwde het protocol zelf al voor mogelijke bugs.
Het verlies van de volledige TVL is een enorme klap. Zeker in een tijd waarin DeFi onder een vergrootglas ligt bij toezichthouders. Incidenten zoals deze kunnen leiden tot strengere regels of eisen voor audits.
Blijf altijd op de hoogte van het laatste crypto nieuws via Google Nieuws.
Ontvang 10 euro gratis Ethereum
Jouw cryptoavontuur starten met €10 gratis Ether? In samenwerking met Bitvavo mogen wij vandaag 10 euro aan gratis Ethereum of een andere crypto weggeven aan onze lezers (na een storting van minimaal 10 euro).
Maak via onderstaande knop een account aan en je ontvangt een welkomstbonus van 10 euro. Ook handel je de eerste €10.000 binnen de eerste 7 dagen na je registratie helemaal gratis (t.w.v. €25). Alle voorwaarden vind je op de pagina onder de knop.