Anlık depolama kaynaklı bir on-chain varlık kaybı olayı
2025 yılının Mart ayı sonunda, Ethereum on-chain bir kaldıraç ticaret projesi saldırıya uğradı ve 300.000 dolardan fazla varlık kaybı yaşandı. Güvenlik ekibi, bu olayı derinlemesine analiz etti ve saldırının prensiplerini ve sürecini ortaya çıkardı.
Olay Arka Planı
Bu olay 30 Mart 2025 tarihinde gerçekleşti ve mağdur proje, Ethereum üzerinde çalışan bir kaldıraç işlem platformuydu. Saldırgan, Solidity 0.8.24 sürümünde tanıtılan geçici depolama özelliğindeki bir açığı kullanarak, sözleşmenin yetki kontrolünü başarıyla atlatarak büyük miktarda varlıkları yasa dışı bir şekilde transfer etti.
Geçici Depolama Tanıtımı
Geçici depolama, Solidity'nin Ocak 2024'te piyasaya sürdüğü yeni bir özelliktir ve düşük maliyetli, geçici bir veri depolama yöntemi sağlamayı amaçlamaktadır. Aşağıdaki özelliklere sahiptir:
Düşük gas tüketimi: Okuma ve yazma işlemleri yalnızca 100 gas gerektirir, bu da normal depolama işlemlerinin çok altındadır.
İşlem içi kalıcılık: Veriler, işlem gerçekleştirme süresi boyunca geçerliliğini korur.
Otomatik sıfırlama: İşlem tamamlandıktan sonra, depolanan veriler otomatik olarak sıfırlanır.
Saldırı Prensibi
Saldırının temelinde, fonksiyon çağrısı sona erdikten sonra zamanında temizlenmeyen geçici depolama özelliğinin kullanılması yatmaktadır. Saldırganlar, kimlik doğrulama için kullanılan verilerin değiştirilmesine neden olan özenle hazırlanmış işlem dizileri aracılığıyla sözleşmenin güvenlik denetimlerini atlatmayı başardılar.
Saldırı Adımları
Kötü niyetli token oluşturun ve bir işlem havuzu kurun
Kaldıraçlı ticaret pazarını başlat
Kaldıraç tokenleri çıkarırken, aynı anda ilk geçici depolama işlemi yapılır.
Belirli bir adres için kötü niyetli sözleşme oluşturma
Geçici depolama kalıntılarını kullanarak kimlik doğrulamayı atlatma
Yasa dışı varlık transferi
Varlık Akışı
On-chain verilere göre, saldırganlar yaklaşık 300.000 dolar değerinde varlık çaldı, bunlar arasında USDC, WBTC ve WETH bulunmaktadır. Bu varlıklar daha sonra dönüştürüldü ve fon akışını gizlemek için karışık para hizmetine aktarıldı.
Güvenlik Önerileri
Benzer olayların tekrar yaşanmaması için geliştiricilerin aşağıdaki noktalara dikkat etmesi gerekmektedir:
Geçici depolama kullanıldıktan sonra, depolanan değerleri zamanında temizleyin.
Akıllı sözleşme kodu denetimini ve güvenlik testlerini güçlendirin
Yeni eklenen dil özelliklerini dikkatli kullanın, potansiyel risklerini tam olarak anlayın.
Bu olay, yeni teknolojilerin özelliklerinin getirebileceği güvenlik açıklarını vurgulamakta ve blok zinciri proje geliştiricilerini yeni fonksiyonları kullanırken ekstra dikkatli olmaya teşvik etmekte; aynı zamanda sürekli güvenlik denetimlerinin ve risk değerlendirmelerinin önemini de vurgulamaktadır.
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
Ethereum Marj Trade projesi saldırıya uğradı, geçici depolama açığı 300.000 dolar varlık kaybına neden oldu.
Anlık depolama kaynaklı bir on-chain varlık kaybı olayı
2025 yılının Mart ayı sonunda, Ethereum on-chain bir kaldıraç ticaret projesi saldırıya uğradı ve 300.000 dolardan fazla varlık kaybı yaşandı. Güvenlik ekibi, bu olayı derinlemesine analiz etti ve saldırının prensiplerini ve sürecini ortaya çıkardı.
Olay Arka Planı
Bu olay 30 Mart 2025 tarihinde gerçekleşti ve mağdur proje, Ethereum üzerinde çalışan bir kaldıraç işlem platformuydu. Saldırgan, Solidity 0.8.24 sürümünde tanıtılan geçici depolama özelliğindeki bir açığı kullanarak, sözleşmenin yetki kontrolünü başarıyla atlatarak büyük miktarda varlıkları yasa dışı bir şekilde transfer etti.
Geçici Depolama Tanıtımı
Geçici depolama, Solidity'nin Ocak 2024'te piyasaya sürdüğü yeni bir özelliktir ve düşük maliyetli, geçici bir veri depolama yöntemi sağlamayı amaçlamaktadır. Aşağıdaki özelliklere sahiptir:
Saldırı Prensibi
Saldırının temelinde, fonksiyon çağrısı sona erdikten sonra zamanında temizlenmeyen geçici depolama özelliğinin kullanılması yatmaktadır. Saldırganlar, kimlik doğrulama için kullanılan verilerin değiştirilmesine neden olan özenle hazırlanmış işlem dizileri aracılığıyla sözleşmenin güvenlik denetimlerini atlatmayı başardılar.
Saldırı Adımları
Varlık Akışı
On-chain verilere göre, saldırganlar yaklaşık 300.000 dolar değerinde varlık çaldı, bunlar arasında USDC, WBTC ve WETH bulunmaktadır. Bu varlıklar daha sonra dönüştürüldü ve fon akışını gizlemek için karışık para hizmetine aktarıldı.
Güvenlik Önerileri
Benzer olayların tekrar yaşanmaması için geliştiricilerin aşağıdaki noktalara dikkat etmesi gerekmektedir:
Bu olay, yeni teknolojilerin özelliklerinin getirebileceği güvenlik açıklarını vurgulamakta ve blok zinciri proje geliştiricilerini yeni fonksiyonları kullanırken ekstra dikkatli olmaya teşvik etmekte; aynı zamanda sürekli güvenlik denetimlerinin ve risk değerlendirmelerinin önemini de vurgulamaktadır.