Sebuah kejadian kerugian aset on-chain yang disebabkan oleh penyimpanan transien
Pada akhir Maret 2025, sebuah proyek perdagangan berleverase di jaringan Ethereum diserang, mengakibatkan kerugian aset lebih dari 300.000 dolar AS. Tim keamanan melakukan analisis mendalam terhadap kejadian ini, mengungkapkan prinsip dan proses serangan tersebut.
Latar Belakang Peristiwa
Peristiwa ini terjadi pada 30 Maret 2025, proyek yang menjadi korban adalah platform perdagangan leverage yang berjalan di Ethereum. Penyerang memanfaatkan celah dalam fitur penyimpanan transien yang diperkenalkan di versi Solidity 0.8.24, berhasil menghindari pemeriksaan izin kontrak dan secara ilegal mengalirkan sejumlah besar aset.
Pengantar Penyimpanan Transien
Penyimpanan transien adalah fitur baru yang diperkenalkan oleh Solidity pada Januari 2024, yang bertujuan untuk menyediakan cara penyimpanan data sementara yang berbiaya rendah. Fitur ini memiliki karakteristik berikut:
Konsumsi gas rendah: Operasi baca-tulis hanya memerlukan 100 gas, jauh lebih rendah dibandingkan dengan operasi penyimpanan konvensional.
Ketahanan dalam transaksi: Data tetap valid selama periode eksekusi transaksi.
Penghapusan otomatis: Setelah transaksi selesai, data yang disimpan akan secara otomatis direset menjadi nol.
Prinsip Serangan
Inti dari serangan ini adalah memanfaatkan karakteristik penyimpanan sementara yang tidak dibersihkan tepat waktu setelah pemanggilan fungsi. Penyerang menggunakan urutan operasi yang dirancang dengan cermat, sehingga data yang seharusnya digunakan untuk memverifikasi identitas diganti, sehingga melewati pemeriksaan keamanan kontrak.
Langkah Serangan
Membuat token jahat dan membangun kolam perdagangan
Inisialisasi pasar perdagangan margin
Mencetak token leverage, sambil melakukan penyimpanan transien pertama
Membuat kontrak jahat untuk alamat tertentu
Memanfaatkan sisa penyimpanan transien untuk melewati otentikasi
Pengeluaran aset target secara ilegal
Arah Aliran Aset
Berdasarkan analisis data on-chain, penyerang telah mencuri sekitar 300.000 dolar AS aset, termasuk USDC, WBTC, dan WETH. Aset-aset ini kemudian ditukar dan dipindahkan ke layanan pencampuran, berusaha untuk menyembunyikan aliran dana.
Saran Keamanan
Untuk mencegah terjadinya kejadian serupa, pengembang harus memperhatikan hal-hal berikut:
Setelah menggunakan penyimpanan sementara, segera hapus nilai yang disimpan
Memperkuat audit kode kontrak dan pengujian keamanan
Gunakan fitur bahasa baru dengan hati-hati, dan pahami risiko potensialnya.
Peristiwa ini menyoroti potensi risiko keamanan yang dapat ditimbulkan oleh karakteristik teknologi baru, mengingatkan pengembang proyek blockchain untuk lebih berhati-hati saat mengadopsi fitur baru, sekaligus menekankan pentingnya audit keamanan dan evaluasi risiko yang berkelanjutan.
Halaman ini mungkin berisi konten pihak ketiga, yang disediakan untuk tujuan informasi saja (bukan pernyataan/jaminan) dan tidak boleh dianggap sebagai dukungan terhadap pandangannya oleh Gate, atau sebagai nasihat keuangan atau profesional. Lihat Penafian untuk detailnya.
Proyek perdagangan margin Ethereum diserang, celah penyimpanan sementara menyebabkan kerugian aset sebesar 300.000 dolar.
Sebuah kejadian kerugian aset on-chain yang disebabkan oleh penyimpanan transien
Pada akhir Maret 2025, sebuah proyek perdagangan berleverase di jaringan Ethereum diserang, mengakibatkan kerugian aset lebih dari 300.000 dolar AS. Tim keamanan melakukan analisis mendalam terhadap kejadian ini, mengungkapkan prinsip dan proses serangan tersebut.
Latar Belakang Peristiwa
Peristiwa ini terjadi pada 30 Maret 2025, proyek yang menjadi korban adalah platform perdagangan leverage yang berjalan di Ethereum. Penyerang memanfaatkan celah dalam fitur penyimpanan transien yang diperkenalkan di versi Solidity 0.8.24, berhasil menghindari pemeriksaan izin kontrak dan secara ilegal mengalirkan sejumlah besar aset.
Pengantar Penyimpanan Transien
Penyimpanan transien adalah fitur baru yang diperkenalkan oleh Solidity pada Januari 2024, yang bertujuan untuk menyediakan cara penyimpanan data sementara yang berbiaya rendah. Fitur ini memiliki karakteristik berikut:
Prinsip Serangan
Inti dari serangan ini adalah memanfaatkan karakteristik penyimpanan sementara yang tidak dibersihkan tepat waktu setelah pemanggilan fungsi. Penyerang menggunakan urutan operasi yang dirancang dengan cermat, sehingga data yang seharusnya digunakan untuk memverifikasi identitas diganti, sehingga melewati pemeriksaan keamanan kontrak.
Langkah Serangan
Arah Aliran Aset
Berdasarkan analisis data on-chain, penyerang telah mencuri sekitar 300.000 dolar AS aset, termasuk USDC, WBTC, dan WETH. Aset-aset ini kemudian ditukar dan dipindahkan ke layanan pencampuran, berusaha untuk menyembunyikan aliran dana.
Saran Keamanan
Untuk mencegah terjadinya kejadian serupa, pengembang harus memperhatikan hal-hal berikut:
Peristiwa ini menyoroti potensi risiko keamanan yang dapat ditimbulkan oleh karakteristik teknologi baru, mengingatkan pengembang proyek blockchain untuk lebih berhati-hati saat mengadopsi fitur baru, sekaligus menekankan pentingnya audit keamanan dan evaluasi risiko yang berkelanjutan.