O projeto de negociação com margem do Ethereum foi atacado, resultando em uma perda de 300.000 dólares devido a uma vulnerabilidade de armazenamento transitório.
Um evento de perda de ativos na cadeia causado por armazenamento transitório
No final de março de 2025, um projeto de negociação alavancada na cadeia do Ethereum foi atacado, resultando em perdas de ativos superiores a 300.000 dólares. A equipe de segurança realizou uma análise aprofundada deste incidente, revelando os princípios e o processo do ataque.
Contexto do Evento
O incidente ocorreu em 30 de março de 2025, e o projeto afetado é uma plataforma de negociação alavancada que opera na Ethereum. O atacante explorou uma vulnerabilidade nas características de armazenamento transitório introduzidas na versão 0.8.24 do Solidity, conseguindo contornar a verificação de permissões do contrato e transferir ilegalmente uma grande quantidade de ativos.
Introdução ao Armazenamento Transitório
O armazenamento transitório é uma nova funcionalidade que o Solidity lançará em janeiro de 2024, com o objetivo de fornecer uma forma de armazenamento de dados temporária e de baixo custo. Apresenta as seguintes características:
Baixo consumo de gas: operações de leitura e escrita requerem apenas 100 gas, muito abaixo das operações de armazenamento convencionais.
Persistência da transação: os dados permanecem válidos durante toda a execução da transação.
Limpeza automática: Após a conclusão da transação, os dados armazenados serão automaticamente redefinidos para zero.
Princípio do Ataque
O cerne do ataque reside na utilização da característica de armazenamento transitório que não foi limpo a tempo após o término da chamada da função. O atacante, através de uma sequência de operações cuidadosamente elaborada, consegue substituir os dados originalmente utilizados para verificar a identidade, contornando assim as verificações de segurança do contrato.
Passos do ataque
Criar tokens maliciosos e estabelecer um pool de negociação
Inicializar o mercado de negociação com margem
Emitir tokens alavancados, enquanto realiza o primeiro armazenamento transitório
Criar contratos maliciosos para endereços específicos
Utilizar resíduos de armazenamento transitório para contornar a autenticação
Transferência ilegal de ativos alvo
Fluxo de Ativos
De acordo com a análise de dados na cadeia, os atacantes roubaram cerca de 300 mil dólares em ativos, incluindo USDC, WBTC e WETH. Esses ativos foram então trocados e transferidos para um serviço de mistura, tentando ocultar o fluxo de fundos.
Sugestões de segurança
Para evitar que eventos semelhantes ocorram novamente, os desenvolvedores devem prestar atenção aos seguintes pontos:
Após usar o armazenamento transitório, limpe os valores armazenados a tempo.
Reforçar a auditoria de código de contrato e os testes de segurança
Use com cautela as novas características da linguagem introduzidas, compreendendo plenamente os seus riscos potenciais.
Este evento destaca os riscos de segurança que podem advir das características de novas tecnologias, lembrando os desenvolvedores de projetos de blockchain que devem ser especialmente cautelosos ao adotar novas funcionalidades, ao mesmo tempo que enfatiza a importância de auditorias de segurança contínuas e avaliações de risco.
Esta página pode conter conteúdo de terceiros, que é fornecido apenas para fins informativos (não para representações/garantias) e não deve ser considerada como um endosso de suas opiniões pela Gate nem como aconselhamento financeiro ou profissional. Consulte a Isenção de responsabilidade para obter detalhes.
O projeto de negociação com margem do Ethereum foi atacado, resultando em uma perda de 300.000 dólares devido a uma vulnerabilidade de armazenamento transitório.
Um evento de perda de ativos na cadeia causado por armazenamento transitório
No final de março de 2025, um projeto de negociação alavancada na cadeia do Ethereum foi atacado, resultando em perdas de ativos superiores a 300.000 dólares. A equipe de segurança realizou uma análise aprofundada deste incidente, revelando os princípios e o processo do ataque.
Contexto do Evento
O incidente ocorreu em 30 de março de 2025, e o projeto afetado é uma plataforma de negociação alavancada que opera na Ethereum. O atacante explorou uma vulnerabilidade nas características de armazenamento transitório introduzidas na versão 0.8.24 do Solidity, conseguindo contornar a verificação de permissões do contrato e transferir ilegalmente uma grande quantidade de ativos.
Introdução ao Armazenamento Transitório
O armazenamento transitório é uma nova funcionalidade que o Solidity lançará em janeiro de 2024, com o objetivo de fornecer uma forma de armazenamento de dados temporária e de baixo custo. Apresenta as seguintes características:
Princípio do Ataque
O cerne do ataque reside na utilização da característica de armazenamento transitório que não foi limpo a tempo após o término da chamada da função. O atacante, através de uma sequência de operações cuidadosamente elaborada, consegue substituir os dados originalmente utilizados para verificar a identidade, contornando assim as verificações de segurança do contrato.
Passos do ataque
Fluxo de Ativos
De acordo com a análise de dados na cadeia, os atacantes roubaram cerca de 300 mil dólares em ativos, incluindo USDC, WBTC e WETH. Esses ativos foram então trocados e transferidos para um serviço de mistura, tentando ocultar o fluxo de fundos.
Sugestões de segurança
Para evitar que eventos semelhantes ocorram novamente, os desenvolvedores devem prestar atenção aos seguintes pontos:
Este evento destaca os riscos de segurança que podem advir das características de novas tecnologias, lembrando os desenvolvedores de projetos de blockchain que devem ser especialmente cautelosos ao adotar novas funcionalidades, ao mesmo tempo que enfatiza a importância de auditorias de segurança contínuas e avaliações de risco.