El proyecto de comercio de márgen de Ethereum sufrió un ataque de 300,000 dólares por parte de un hacker, siendo una vulnerabilidad de almacenamiento transitorio la clave.
El proyecto de comercio de márgen de Ethereum sufre un ataque de hacker de 300,000 dólares
El 30 de marzo de 2025, un proyecto de comercio de márgen que opera en Ethereum se convirtió en el objetivo de un ataque de un hacker, lo que resultó en pérdidas de activos superiores a 300,000 dólares. El equipo de seguridad realizó un análisis exhaustivo de este incidente, revelando los detalles y las razones del ataque.
Contexto del evento
Los atacantes aprovecharon una vulnerabilidad en la característica de almacenamiento transitorio introducida en la versión 0.8.24 de Solidity. El almacenamiento transitorio es una nueva ubicación de almacenamiento de datos, diseñada para proporcionar una forma de almacenamiento temporal de bajo costo y efectiva durante las transacciones. Sin embargo, la implementación de esta característica en el proyecto presenta defectos, convirtiéndose en un punto de entrada para los ataques de hackers.
Principio del ataque
El núcleo del ataque radica en que los datos en el almacenamiento transitorio permanecen válidos durante todo el período de la transacción, en lugar de ser eliminados al final de cada llamada de función. El atacante aprovechó hábilmente esta característica, eludiendo el mecanismo de verificación de permisos en el contrato a través de una secuencia de transacciones cuidadosamente diseñada.
Pasos del ataque
El atacante crea dos tokens personalizados y establece un pool de liquidez para estos dos tokens en un DEX.
Utilizar estos dos tokens para crear un nuevo mercado de comercio de márgen en el proyecto objetivo.
A través de la deposición de tokens de deuda, acuñar tokens de margen, dejando al mismo tiempo un valor específico en el almacenamiento transitorio.
Crear un contrato malicioso que coincida con el valor en el almacenamiento transitorio.
Utilizar este contrato malicioso para llamar a la función callback del contrato objetivo, eludiendo la verificación de permisos.
Por último, extraer otros tokens valiosos directamente del contrato objetivo.
Situación de pérdidas
Según el análisis en la cadena, el atacante logró robar aproximadamente 300,000 dólares en activos, incluyendo:
17,814.8626 USDC
1.4085 WBTC
119.871 WETH
El atacante luego convirtió todos los activos robados en WETH y los transfirió a una herramienta de anonimato.
Sugerencias de seguridad
Para prevenir ataques similares, el equipo del proyecto debe:
Después de que finalice la llamada a la función que utiliza el almacenamiento transitorio, limpiar inmediatamente los valores almacenados.
Fortalecer el proceso de auditoría y pruebas de seguridad del código del contrato.
Utiliza con precaución las características de lenguaje recién introducidas, comprendiendo plenamente sus riesgos potenciales.
Este incidente nos recuerda una vez más que, a medida que la tecnología blockchain avanza rápidamente, los problemas de seguridad siguen siendo un desafío constante. Los desarrolladores de proyectos deben mantenerse alerta y actualizar continuamente las prácticas de seguridad para proteger la seguridad de los activos de los usuarios.
Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.
11 me gusta
Recompensa
11
4
Compartir
Comentar
0/400
screenshot_gains
· hace2h
Hacer dinero en silencio, aprovecharse de las vulnerabilidades para obtener dinero sin esfuerzo.
Ver originalesResponder0
CodeAuditQueen
· hace2h
¿Estás loco? ¿Quién todavía usa 0.8.24?
Ver originalesResponder0
MissedAirdropAgain
· hace2h
Ay, después de esperar la vulnerabilidad on-chain, ahora espero la reestructuración del proyecto. No he perdido, sé en mi corazón.
Ver originalesResponder0
GasOptimizer
· hace2h
Me quedé asombrado esperando toda la jornada por este ataque.
El proyecto de comercio de márgen de Ethereum sufrió un ataque de 300,000 dólares por parte de un hacker, siendo una vulnerabilidad de almacenamiento transitorio la clave.
El proyecto de comercio de márgen de Ethereum sufre un ataque de hacker de 300,000 dólares
El 30 de marzo de 2025, un proyecto de comercio de márgen que opera en Ethereum se convirtió en el objetivo de un ataque de un hacker, lo que resultó en pérdidas de activos superiores a 300,000 dólares. El equipo de seguridad realizó un análisis exhaustivo de este incidente, revelando los detalles y las razones del ataque.
Contexto del evento
Los atacantes aprovecharon una vulnerabilidad en la característica de almacenamiento transitorio introducida en la versión 0.8.24 de Solidity. El almacenamiento transitorio es una nueva ubicación de almacenamiento de datos, diseñada para proporcionar una forma de almacenamiento temporal de bajo costo y efectiva durante las transacciones. Sin embargo, la implementación de esta característica en el proyecto presenta defectos, convirtiéndose en un punto de entrada para los ataques de hackers.
Principio del ataque
El núcleo del ataque radica en que los datos en el almacenamiento transitorio permanecen válidos durante todo el período de la transacción, en lugar de ser eliminados al final de cada llamada de función. El atacante aprovechó hábilmente esta característica, eludiendo el mecanismo de verificación de permisos en el contrato a través de una secuencia de transacciones cuidadosamente diseñada.
Pasos del ataque
Situación de pérdidas
Según el análisis en la cadena, el atacante logró robar aproximadamente 300,000 dólares en activos, incluyendo:
El atacante luego convirtió todos los activos robados en WETH y los transfirió a una herramienta de anonimato.
Sugerencias de seguridad
Para prevenir ataques similares, el equipo del proyecto debe:
Este incidente nos recuerda una vez más que, a medida que la tecnología blockchain avanza rápidamente, los problemas de seguridad siguen siendo un desafío constante. Los desarrolladores de proyectos deben mantenerse alerta y actualizar continuamente las prácticas de seguridad para proteger la seguridad de los activos de los usuarios.