Инцидент с потерей активов в блокчейне, вызванный временным хранением
В конце марта 2025 года проект по маржинальной торговле на цепочке Эфириума подвергся атаке, в результате которой был потерян актив на сумму более 300 000 долларов. Команда безопасности провела глубокий анализ этого инцидента, раскрывая принципы и процесс атаки.
Фон события
Это событие произошло 30 марта 2025 года, пострадавшим проектом является платформа маржинальной торговли, работающая в Ethereum. Злоумышленник использовал уязвимость в функции временного хранения, введенной в версии Solidity 0.8.24, успешно обошел проверку прав в контракте и незаконно вывел большое количество активов.
Введение в временное хранилище
Временное хранилище - это новая функция Solidity, которая будет представлена в январе 2024 года, предназначенная для предоставления недорогого, временного способа хранения данных. Она имеет следующие характеристики:
Низкое потребление газа: операции чтения и записи требуют всего 100 газа, что значительно ниже, чем при обычных операциях хранения.
Долговечность транзакции: Данные остаются действительными на протяжении всей выполнения транзакции.
Автоматическое очищение: после завершения сделки хранимые данные автоматически сбрасываются на ноль.
Принципы атаки
Суть атаки заключается в использовании особенностей временного хранения, которое не очищается вовремя после завершения вызова функции. Злоумышленник, используя тщательно составленные последовательности операций, заменяет данные, которые изначально предназначались для проверки личности, тем самым обходя проверки безопасности контракта.
Шаги атаки
Создание вредоносного токена и создание торгового пула
Инициализация маржинальной торговли на рынке
Чеканка левередж-токенов с одновременным проведением первого транситного хранения
Создание вредоносного контракта для конкретного адреса
Использование остаточного хранилища временных данных для обхода аутентификации
Неправомерный вывод целевых активов
Направление активов
Согласно анализу данных в блокчейне, злоумышленники похитили около 300 тысяч долларов США активов, включая USDC, WBTC и WETH. Эти активы были затем обменены и переведены в услуги по смешиванию монет, чтобы попытаться скрыть направление средств.
Рекомендации по безопасности
Чтобы предотвратить повторение подобных инцидентов, разработчики должны обратить внимание на следующие моменты:
После использования временного хранилища своевременно очищайте сохраненные значения
Укрепление аудита кода контрактов и тестирования безопасности
Осторожно используйте новые вводимые языковые особенности, полностью осознавая их потенциальные риски
Данное событие подчеркивает потенциальные угрозы безопасности, связанные с особенностями новых технологий, и напоминает разработчикам проектов в блокчейне о необходимости проявлять особую осторожность при использовании новых функций, а также акцентирует важность регулярного аудита безопасности и оценки рисков.
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
Проект маржинальной торговли Ethereum подвергся атаке, в результате уязвимости временного хранения было потеряно 300000 долларов.
Инцидент с потерей активов в блокчейне, вызванный временным хранением
В конце марта 2025 года проект по маржинальной торговле на цепочке Эфириума подвергся атаке, в результате которой был потерян актив на сумму более 300 000 долларов. Команда безопасности провела глубокий анализ этого инцидента, раскрывая принципы и процесс атаки.
Фон события
Это событие произошло 30 марта 2025 года, пострадавшим проектом является платформа маржинальной торговли, работающая в Ethereum. Злоумышленник использовал уязвимость в функции временного хранения, введенной в версии Solidity 0.8.24, успешно обошел проверку прав в контракте и незаконно вывел большое количество активов.
Введение в временное хранилище
Временное хранилище - это новая функция Solidity, которая будет представлена в январе 2024 года, предназначенная для предоставления недорогого, временного способа хранения данных. Она имеет следующие характеристики:
Принципы атаки
Суть атаки заключается в использовании особенностей временного хранения, которое не очищается вовремя после завершения вызова функции. Злоумышленник, используя тщательно составленные последовательности операций, заменяет данные, которые изначально предназначались для проверки личности, тем самым обходя проверки безопасности контракта.
Шаги атаки
Направление активов
Согласно анализу данных в блокчейне, злоумышленники похитили около 300 тысяч долларов США активов, включая USDC, WBTC и WETH. Эти активы были затем обменены и переведены в услуги по смешиванию монет, чтобы попытаться скрыть направление средств.
Рекомендации по безопасности
Чтобы предотвратить повторение подобных инцидентов, разработчики должны обратить внимание на следующие моменты:
Данное событие подчеркивает потенциальные угрозы безопасности, связанные с особенностями новых технологий, и напоминает разработчикам проектов в блокчейне о необходимости проявлять особую осторожность при использовании новых функций, а также акцентирует важность регулярного аудита безопасности и оценки рисков.