Інцидент втрати активів у блокчейні, спричинений миттєвим зберіганням
Наприкінці березня 2025 року один з проектів з маржинальної торгівлі на блокчейні ефіру зазнав атаки, внаслідок якої було втрачено понад 300 тисяч доларів активів. Команда безпеки провела глибокий аналіз цієї події, розкриваючи принципи та процес атаки.
Фон події
Ця подія сталася 30 березня 2025 року, жертвою став платформу з маржинальної торгівлі, що працює у блокчейні Ethereum. Зловмисник скористався уразливістю, що виникла внаслідок впровадження особливості тимчасового зберігання в версії Solidity 0.8.24, успішно обійшовши перевірки прав контракту та незаконно перевівши велику кількість активів.
Вступ до миттєвого зберігання
Тимчасове зберігання — це нова функція Solidity, яка буде запущена в січні 2024 року, і має на меті забезпечити низьковартісний, тимчасовий спосіб зберігання даних. Вона має такі характеристики:
Низьке споживання gas: операції читання та запису потребують лише 100 gas, що значно менше, ніж для звичайних операцій зберігання.
Постійність у торгах: дані залишаються дійсними протягом усього виконання угоди.
Автоматичне очищення: після завершення торгівлі збережені дані автоматично скидаються до нуля.
Принцип атаки
Ядро атаки полягає у використанні особливості тимчасового зберігання, яке не було своєчасно очищене після завершення виклику функції. Зловмисник, шляхом ретельно спроектованих послідовностей операцій, замінює дані, що спочатку використовувалися для перевірки особи, тим самим обходячи засоби безпеки контракту.
Кроки атаки
Створення шкідливих токенів та створення торгового пулу
Ініціалізація ринку маржинальної торгівлі
Мінування леверидж-токенів, одночасно здійснюючи перше миттєве зберігання
Створення шкідливого контракту для певної адреси
Використання залишків транзитного сховища для обходу автентифікації
Незаконний вивід цільових активів
Напрямок активів
Згідно з аналізом даних у блокчейні, зловмисники вкрали приблизно 300 тисяч доларів активів, включаючи USDC, WBTC та WETH. Ці активи потім були обміняні та переведені до служби змішування, намагаючись приховати напрямок руху коштів.
Рекомендації щодо безпеки
Щоб запобігти повторенню подібних випадків, розробники повинні звернути увагу на такі моменти:
Після використання тимчасового сховища своєчасно очищайте збережене значення.
Посилити аудит коду контрактів та безпекове тестування
Обережно використовуйте нові мовні особливості, повністю розуміючи їх потенційні ризики
Ця подія підкреслила можливі ризики безпеки, які можуть виникнути внаслідок нових технологічних особливостей, і нагадала розробникам проектів у блокчейні бути особливо обережними під час впровадження нових функцій. Одночасно це також підкреслило важливість постійного аудиту безпеки та оцінки ризиків.
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
Атака на проект Маржинальної торгівлі Ethereum призвела до втрати активів на суму 300 000 доларів через вразливість миттєвого зберігання.
Інцидент втрати активів у блокчейні, спричинений миттєвим зберіганням
Наприкінці березня 2025 року один з проектів з маржинальної торгівлі на блокчейні ефіру зазнав атаки, внаслідок якої було втрачено понад 300 тисяч доларів активів. Команда безпеки провела глибокий аналіз цієї події, розкриваючи принципи та процес атаки.
Фон події
Ця подія сталася 30 березня 2025 року, жертвою став платформу з маржинальної торгівлі, що працює у блокчейні Ethereum. Зловмисник скористався уразливістю, що виникла внаслідок впровадження особливості тимчасового зберігання в версії Solidity 0.8.24, успішно обійшовши перевірки прав контракту та незаконно перевівши велику кількість активів.
Вступ до миттєвого зберігання
Тимчасове зберігання — це нова функція Solidity, яка буде запущена в січні 2024 року, і має на меті забезпечити низьковартісний, тимчасовий спосіб зберігання даних. Вона має такі характеристики:
Принцип атаки
Ядро атаки полягає у використанні особливості тимчасового зберігання, яке не було своєчасно очищене після завершення виклику функції. Зловмисник, шляхом ретельно спроектованих послідовностей операцій, замінює дані, що спочатку використовувалися для перевірки особи, тим самим обходячи засоби безпеки контракту.
Кроки атаки
Напрямок активів
Згідно з аналізом даних у блокчейні, зловмисники вкрали приблизно 300 тисяч доларів активів, включаючи USDC, WBTC та WETH. Ці активи потім були обміняні та переведені до служби змішування, намагаючись приховати напрямок руху коштів.
Рекомендації щодо безпеки
Щоб запобігти повторенню подібних випадків, розробники повинні звернути увагу на такі моменти:
Ця подія підкреслила можливі ризики безпеки, які можуть виникнути внаслідок нових технологічних особливостей, і нагадала розробникам проектів у блокчейні бути особливо обережними під час впровадження нових функцій. Одночасно це також підкреслило важливість постійного аудиту безпеки та оцінки ризиків.