Le projet de trading sur marge d'Ethereum a été attaqué par un hacker pour 300 000 dollars. Une vulnérabilité de stockage transitoire s'est avérée être la clé.
Le projet de trading sur marge Ethereum a été victime d'une attaque de hacker de 300 000 dollars
Le 30 mars 2025, un projet de trading sur marge fonctionnant sur Ethereum est devenu la cible d'une attaque de hacker, entraînant une perte d'actifs de plus de 300 000 dollars. L'équipe de sécurité a mené une analyse approfondie de cet incident, révélant les détails et les raisons de l'attaque.
Contexte de l'événement
L'attaquant a exploité une vulnérabilité dans la fonctionnalité de stockage transitoire introduite par la version 0.8.24 de Solidity. Le stockage transitoire est un nouvel emplacement de stockage de données conçu pour fournir une méthode de stockage temporaire efficace pendant les transactions à faible coût. Cependant, la mise en œuvre de cette fonctionnalité dans le projet présente des défauts, devenant ainsi un point d'entrée pour les attaques de hackers.
Principe de l'attaque
Le cœur de l'attaque réside dans le fait que les données dans le stockage temporaire restent valides pendant toute la durée de la transaction, plutôt que d'être effacées à la fin de chaque appel de fonction. L'attaquant a habilement exploité cette caractéristique en contournant le mécanisme de vérification des autorisations dans le contrat à travers une séquence de transactions soigneusement conçue.
Étapes d’attaque
L'attaquant crée deux jetons personnalisés et crée une piscine de liquidité pour ces deux jetons sur un DEX.
Utiliser ces deux jetons pour créer un nouveau marché de Trading sur marge dans le projet cible.
En déposant des jetons de dette, créez des jetons de levier tout en laissant une valeur spécifique dans le stockage transitoire.
Créer un contrat malveillant qui correspond à la valeur dans le stockage transitoire avec une adresse.
Utiliser ce contrat malveillant pour appeler la fonction de rappel du contrat cible et contourner la vérification des autorisations.
Enfin, extrayez directement d'autres jetons de valeur du contrat cible.
Situation des pertes
Selon l'analyse en chaîne, l'attaquant a réussi à voler environ 300 000 dollars d'actifs, y compris :
17,814.8626 USDC
1.4085 WBTC
119.871 WETH
L'attaquant a ensuite converti tous les actifs volés en WETH et les a transférés vers un outil d'anonymisation.
Conseils de sécurité
Pour prévenir des attaques similaires, l'équipe du projet devrait :
Après la fin de l'appel de fonction utilisant le stockage transitoire, effacez immédiatement les valeurs stockées.
Renforcer les processus d'audit et de test de sécurité du code des contrats.
Utilisez avec prudence les nouvelles fonctionnalités linguistiques introduites, en comprenant bien leurs risques potentiels.
Cet incident nous rappelle une fois de plus qu'alors que la technologie blockchain évolue rapidement, les problèmes de sécurité restent un défi constant. Les développeurs de projets doivent rester vigilants et mettre à jour en permanence les pratiques de sécurité pour protéger les actifs des utilisateurs.
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
11 J'aime
Récompense
11
4
Partager
Commentaire
0/400
screenshot_gains
· Il y a 4h
Faire de l'argent sans bruit, profiter des failles pour prendre de l'argent.
Voir l'originalRépondre0
CodeAuditQueen
· Il y a 4h
C'est stupide, qui utilise encore 0.8.24 ?
Voir l'originalRépondre0
MissedAirdropAgain
· Il y a 4h
Eh, après avoir attendu les failles off-chain, j'attends la reconstruction du projet. Ne t'inquiète pas, je sais que je n'ai pas perdu.
Voir l'originalRépondre0
GasOptimizer
· Il y a 5h
J'ai été stupéfait d'attendre un jour pour cette attaque.
Le projet de trading sur marge d'Ethereum a été attaqué par un hacker pour 300 000 dollars. Une vulnérabilité de stockage transitoire s'est avérée être la clé.
Le projet de trading sur marge Ethereum a été victime d'une attaque de hacker de 300 000 dollars
Le 30 mars 2025, un projet de trading sur marge fonctionnant sur Ethereum est devenu la cible d'une attaque de hacker, entraînant une perte d'actifs de plus de 300 000 dollars. L'équipe de sécurité a mené une analyse approfondie de cet incident, révélant les détails et les raisons de l'attaque.
Contexte de l'événement
L'attaquant a exploité une vulnérabilité dans la fonctionnalité de stockage transitoire introduite par la version 0.8.24 de Solidity. Le stockage transitoire est un nouvel emplacement de stockage de données conçu pour fournir une méthode de stockage temporaire efficace pendant les transactions à faible coût. Cependant, la mise en œuvre de cette fonctionnalité dans le projet présente des défauts, devenant ainsi un point d'entrée pour les attaques de hackers.
Principe de l'attaque
Le cœur de l'attaque réside dans le fait que les données dans le stockage temporaire restent valides pendant toute la durée de la transaction, plutôt que d'être effacées à la fin de chaque appel de fonction. L'attaquant a habilement exploité cette caractéristique en contournant le mécanisme de vérification des autorisations dans le contrat à travers une séquence de transactions soigneusement conçue.
Étapes d’attaque
Situation des pertes
Selon l'analyse en chaîne, l'attaquant a réussi à voler environ 300 000 dollars d'actifs, y compris :
L'attaquant a ensuite converti tous les actifs volés en WETH et les a transférés vers un outil d'anonymisation.
Conseils de sécurité
Pour prévenir des attaques similaires, l'équipe du projet devrait :
Cet incident nous rappelle une fois de plus qu'alors que la technologie blockchain évolue rapidement, les problèmes de sécurité restent un défi constant. Les développeurs de projets doivent rester vigilants et mettre à jour en permanence les pratiques de sécurité pour protéger les actifs des utilisateurs.