Proyek Perdagangan Margin Ethereum Mengalami Serangan Hacker Sebesar 300.000 Dolar
Pada 30 Maret 2025, sebuah proyek perdagangan margin yang berjalan di Ethereum menjadi target serangan hacker, mengakibatkan kerugian aset lebih dari 300.000 dolar. Tim keamanan melakukan analisis mendalam terhadap kejadian ini, mengungkap rincian dan penyebab serangan.
Latar Belakang Peristiwa
Penyerang memanfaatkan celah pada fitur penyimpanan transien yang diperkenalkan di versi Solidity 0.8.24. Penyimpanan transien adalah lokasi penyimpanan data baru yang dirancang untuk menyediakan cara penyimpanan sementara yang efisien biaya dan berlaku selama transaksi. Namun, implementasi fitur ini dalam proyek tersebut memiliki cacat, menjadi titik masuk bagi serangan Hacker.
Prinsip Serangan
Inti dari serangan terletak pada fakta bahwa data dalam penyimpanan sementara tetap valid selama seluruh periode transaksi, bukannya dihapus setelah setiap pemanggilan fungsi. Penyerang dengan cerdik memanfaatkan fitur ini dengan urutan transaksi yang dirancang dengan baik untuk melewati mekanisme pemeriksaan izin dalam kontrak.
Langkah Serangan
Penyerang membuat dua token kustom dan menciptakan pool likuiditas untuk kedua token ini di DEX tertentu.
Menggunakan dua token ini untuk membuat pasar perdagangan margin baru di proyek target.
Dengan menyimpan token utang untuk mencetak token margin, sambil meninggalkan nilai tertentu di penyimpanan sementara.
Buat kontrak jahat yang cocok dengan nilai di penyimpanan sementara.
Memanfaatkan kontrak jahat ini untuk memanggil fungsi callback kontrak target, melewati pemeriksaan izin.
Terakhir, langsung ambil token berharga lainnya dari kontrak target.
Situasi Kerugian
Berdasarkan analisis on-chain, penyerang berhasil mencuri sekitar 300.000 dolar aset, termasuk:
17.814,8626 USDC
1.4085 WBTC
119.871 WETH
Penyerang kemudian mengonversi semua aset yang dicuri menjadi WETH dan mentransfernya ke alat anonim.
Saran Keamanan
Untuk mencegah serangan serupa, pihak proyek harus:
Segera hapus nilai yang disimpan setelah fungsi yang menggunakan penyimpanan transien selesai dipanggil.
Memperkuat proses audit kode kontrak dan pengujian keamanan.
Gunakan fitur bahasa baru dengan hati-hati dan pahami risiko potensialnya.
Kejadian ini sekali lagi mengingatkan kita bahwa, di saat teknologi blockchain berkembang dengan cepat, masalah keamanan tetap menjadi tantangan yang berkelanjutan. Pengembang proyek perlu selalu waspada, terus memperbarui praktik keamanan untuk melindungi keamanan aset pengguna.
Halaman ini mungkin berisi konten pihak ketiga, yang disediakan untuk tujuan informasi saja (bukan pernyataan/jaminan) dan tidak boleh dianggap sebagai dukungan terhadap pandangannya oleh Gate, atau sebagai nasihat keuangan atau profesional. Lihat Penafian untuk detailnya.
11 Suka
Hadiah
11
4
Bagikan
Komentar
0/400
screenshot_gains
· 4jam yang lalu
Diam-diam menghasilkan uang, mengambil uang dari celah
Lihat AsliBalas0
CodeAuditQueen
· 4jam yang lalu
Sangat bodoh ya, siapa yang masih menggunakan 0.8.24
Lihat AsliBalas0
MissedAirdropAgain
· 4jam yang lalu
Eh, setelah menunggu celah on-chain, sekarang menunggu proyek direkonstruksi. Tidak rugi, kamu sendiri tahu.
Lihat AsliBalas0
GasOptimizer
· 5jam yang lalu
Saya terkejut menunggu satu hari untuk serangan ini.
Proyek perdagangan margin Ethereum diserang oleh hacker senilai 300.000 dolar AS, celah penyimpanan sementara menjadi kunci.
Proyek Perdagangan Margin Ethereum Mengalami Serangan Hacker Sebesar 300.000 Dolar
Pada 30 Maret 2025, sebuah proyek perdagangan margin yang berjalan di Ethereum menjadi target serangan hacker, mengakibatkan kerugian aset lebih dari 300.000 dolar. Tim keamanan melakukan analisis mendalam terhadap kejadian ini, mengungkap rincian dan penyebab serangan.
Latar Belakang Peristiwa
Penyerang memanfaatkan celah pada fitur penyimpanan transien yang diperkenalkan di versi Solidity 0.8.24. Penyimpanan transien adalah lokasi penyimpanan data baru yang dirancang untuk menyediakan cara penyimpanan sementara yang efisien biaya dan berlaku selama transaksi. Namun, implementasi fitur ini dalam proyek tersebut memiliki cacat, menjadi titik masuk bagi serangan Hacker.
Prinsip Serangan
Inti dari serangan terletak pada fakta bahwa data dalam penyimpanan sementara tetap valid selama seluruh periode transaksi, bukannya dihapus setelah setiap pemanggilan fungsi. Penyerang dengan cerdik memanfaatkan fitur ini dengan urutan transaksi yang dirancang dengan baik untuk melewati mekanisme pemeriksaan izin dalam kontrak.
Langkah Serangan
Situasi Kerugian
Berdasarkan analisis on-chain, penyerang berhasil mencuri sekitar 300.000 dolar aset, termasuk:
Penyerang kemudian mengonversi semua aset yang dicuri menjadi WETH dan mentransfernya ke alat anonim.
Saran Keamanan
Untuk mencegah serangan serupa, pihak proyek harus:
Kejadian ini sekali lagi mengingatkan kita bahwa, di saat teknologi blockchain berkembang dengan cepat, masalah keamanan tetap menjadi tantangan yang berkelanjutan. Pengembang proyek perlu selalu waspada, terus memperbarui praktik keamanan untuk melindungi keamanan aset pengguna.