Le projet de trading sur marge d'Ethereum a été attaqué, une vulnérabilité de stockage transitoire ayant entraîné une perte d'actifs de 300 000 dollars.
Un incident de perte d'actifs off-chain provoqué par un stockage transitoire
Fin mars 2025, un projet de trading à effet de levier sur la chaîne Ethereum a été attaqué, entraînant une perte d'actifs de plus de 300 000 dollars. L'équipe de sécurité a mené une analyse approfondie de cet incident, révélant les principes et le processus de l'attaque.
Contexte de l'événement
Cet événement a eu lieu le 30 mars 2025, le projet victime est une plateforme de trading à effet de levier fonctionnant sur Ethereum. L'attaquant a exploité une vulnérabilité dans la fonctionnalité de stockage transitoire introduite par la version 0.8.24 de Solidity, réussissant à contourner les vérifications d'autorisation du contrat et à transférer illégalement une grande quantité d'actifs.
Introduction au stockage transitoire
Le stockage transitoire est une nouvelle fonctionnalité introduite par Solidity en janvier 2024, visant à fournir un moyen de stockage de données temporaire et à faible coût. Il présente les caractéristiques suivantes :
Faible consommation de gas : les opérations de lecture et d'écriture ne nécessitent que 100 gas, bien en dessous des opérations de stockage conventionnelles.
Durée des transactions : Les données restent valables pendant toute la durée d'exécution de la transaction.
Suppression automatique : après la fin de la transaction, les données stockées seront automatiquement réinitialisées à zéro.
Principe de l'attaque
Le cœur de l'attaque réside dans l'exploitation de la caractéristique de stockage transitoire qui n'est pas immédiatement nettoyée après la fin d'un appel de fonction. L'attaquant, par le biais d'une séquence d'opérations soigneusement conçue, parvient à remplacer les données initialement destinées à la vérification de l'identité, contournant ainsi les contrôles de sécurité du contrat.
Étapes de l'attaque
Créer un token malveillant et établir un pool de trading
Initialiser le marché de trading à effet de levier
Émettre des tokens à levier, tout en effectuant le premier stockage transitoire.
Créer un contrat malveillant à une adresse spécifique
Utiliser les résidus de stockage transitoire pour contourner l'authentification
Transfert illégal d'actifs cibles
Flux d'actifs
Selon l'analyse des données off-chain, les attaquants ont volé environ 300 000 $ d'actifs, y compris USDC, WBTC et WETH. Ces actifs ont ensuite été échangés et transférés vers un service de mélange de fonds, dans le but de dissimuler le flux des fonds.
Conseils de sécurité
Pour éviter que des incidents similaires ne se reproduisent, les développeurs doivent prêter attention aux points suivants :
Après avoir utilisé le stockage transitoire, effacez rapidement les valeurs stockées.
Renforcer l'audit du code des contrats et les tests de sécurité
Utilisez avec prudence les nouvelles caractéristiques de langage introduites, et comprenez bien leurs risques potentiels.
Cet événement met en évidence les risques de sécurité que peuvent entraîner les caractéristiques des nouvelles technologies, rappelant aux développeurs de projets blockchain de faire preuve d'une prudence particulière lors de l'adoption de nouvelles fonctionnalités, tout en soulignant l'importance d'audits de sécurité continus et d'évaluations des risques.
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
22 J'aime
Récompense
22
3
Partager
Commentaire
0/400
StakeHouseDirector
· 07-11 17:55
Il n'y a pas de perte d'argent en entrant, gardien.
Le projet de trading sur marge d'Ethereum a été attaqué, une vulnérabilité de stockage transitoire ayant entraîné une perte d'actifs de 300 000 dollars.
Un incident de perte d'actifs off-chain provoqué par un stockage transitoire
Fin mars 2025, un projet de trading à effet de levier sur la chaîne Ethereum a été attaqué, entraînant une perte d'actifs de plus de 300 000 dollars. L'équipe de sécurité a mené une analyse approfondie de cet incident, révélant les principes et le processus de l'attaque.
Contexte de l'événement
Cet événement a eu lieu le 30 mars 2025, le projet victime est une plateforme de trading à effet de levier fonctionnant sur Ethereum. L'attaquant a exploité une vulnérabilité dans la fonctionnalité de stockage transitoire introduite par la version 0.8.24 de Solidity, réussissant à contourner les vérifications d'autorisation du contrat et à transférer illégalement une grande quantité d'actifs.
Introduction au stockage transitoire
Le stockage transitoire est une nouvelle fonctionnalité introduite par Solidity en janvier 2024, visant à fournir un moyen de stockage de données temporaire et à faible coût. Il présente les caractéristiques suivantes :
Principe de l'attaque
Le cœur de l'attaque réside dans l'exploitation de la caractéristique de stockage transitoire qui n'est pas immédiatement nettoyée après la fin d'un appel de fonction. L'attaquant, par le biais d'une séquence d'opérations soigneusement conçue, parvient à remplacer les données initialement destinées à la vérification de l'identité, contournant ainsi les contrôles de sécurité du contrat.
Étapes de l'attaque
Flux d'actifs
Selon l'analyse des données off-chain, les attaquants ont volé environ 300 000 $ d'actifs, y compris USDC, WBTC et WETH. Ces actifs ont ensuite été échangés et transférés vers un service de mélange de fonds, dans le but de dissimuler le flux des fonds.
Conseils de sécurité
Pour éviter que des incidents similaires ne se reproduisent, les développeurs doivent prêter attention aux points suivants :
Cet événement met en évidence les risques de sécurité que peuvent entraîner les caractéristiques des nouvelles technologies, rappelant aux développeurs de projets blockchain de faire preuve d'une prudence particulière lors de l'adoption de nouvelles fonctionnalités, tout en soulignant l'importance d'audits de sécurité continus et d'évaluations des risques.