O projeto de negociação com margem do Ethereum sofreu um ataque de hackers de 300 mil dólares, com a vulnerabilidade de armazenamento transitório como a chave.
Projeto de negociação com margem Ethereum sofre ataque de hacker de 300 mil dólares
No dia 30 de março de 2025, um projeto de negociação com margem que opera na Ethereum tornou-se alvo de um ataque de hacker, resultando em perdas de ativos superiores a 300 mil dólares. A equipe de segurança realizou uma análise aprofundada deste incidente, revelando os detalhes e as causas do ataque.
Contexto do evento
Os atacantes exploraram uma vulnerabilidade na característica de armazenamento transitório introduzida na versão 0.8.24 do Solidity. O armazenamento transitório é uma nova localização de armazenamento de dados, destinada a fornecer uma forma de armazenamento temporário de baixo custo e eficaz durante a transação. No entanto, a implementação dessa característica neste projeto apresenta falhas, tornando-se um ponto de entrada para ataques de hackers.
Princípio do ataque
O cerne do ataque reside no fato de que os dados na memória transitória permanecem válidos durante todo o período da transação, em vez de serem limpos após o término de cada chamada de função. O atacante aproveitou habilmente essa característica, contornando o mecanismo de verificação de permissões do contrato por meio de uma sequência de transações cuidadosamente projetadas.
Etapas do ataque
O atacante cria dois tokens personalizados e cria um pool de liquidez para esses dois tokens em algum DEX.
Utilizar estes dois tokens para criar um novo mercado de Negociação com margem no projeto alvo.
Através do depósito de tokens de dívida, é possível cunhar tokens de margem, ao mesmo tempo que se deixa um valor específico na memória transitória.
Criar um contrato malicioso que corresponda ao valor armazenado no endereço e na memória transitória.
Utilizar este contrato malicioso para chamar a função de callback do contrato alvo, contornando a verificação de permissões.
Por fim, extraia diretamente outros tokens valiosos do contrato alvo.
Situação de perdas
De acordo com a análise na cadeia, os atacantes conseguiram roubar cerca de 300 mil dólares em ativos, incluindo:
17,814.8626 USDC
1.4085 WBTC
119.871 WETH
O atacante em seguida converteu todos os ativos roubados em WETH e os transferiu para uma ferramenta de anonimização.
Sugestões de segurança
Para prevenir ataques semelhantes, a equipe do projeto deve:
Após a conclusão da chamada da função que utiliza armazenamento transitório, limpe imediatamente os valores armazenados.
Reforçar o processo de auditoria e testes de segurança do código do contrato.
Use com cautela os novos recursos de linguagem introduzidos, compreendendo completamente os seus riscos potenciais.
Este incidente lembra-nos mais uma vez que, enquanto a tecnologia blockchain continua a desenvolver-se rapidamente, os problemas de segurança permanecem um desafio contínuo. Os desenvolvedores de projetos precisam estar sempre atentos e atualizar constantemente as práticas de segurança para proteger a segurança dos ativos dos usuários.
Esta página pode conter conteúdo de terceiros, que é fornecido apenas para fins informativos (não para representações/garantias) e não deve ser considerada como um endosso de suas opiniões pela Gate nem como aconselhamento financeiro ou profissional. Consulte a Isenção de responsabilidade para obter detalhes.
11 Curtidas
Recompensa
11
4
Compartilhar
Comentário
0/400
screenshot_gains
· 3h atrás
Fazer dinheiro às escondidas, aproveitar-se de falhas para obter dinheiro.
Ver originalResponder0
CodeAuditQueen
· 3h atrás
Estás a brincar, quem ainda usa 0.8.24?
Ver originalResponder0
MissedAirdropAgain
· 3h atrás
Ai, depois de esperar pela vulnerabilidade na cadeia, ainda estou esperando pela reestruturação do projeto. Não me preocupo, sei que não perdi.
Ver originalResponder0
GasOptimizer
· 3h atrás
Fiquei chocado com este ataque que esperei um dia.
O projeto de negociação com margem do Ethereum sofreu um ataque de hackers de 300 mil dólares, com a vulnerabilidade de armazenamento transitório como a chave.
Projeto de negociação com margem Ethereum sofre ataque de hacker de 300 mil dólares
No dia 30 de março de 2025, um projeto de negociação com margem que opera na Ethereum tornou-se alvo de um ataque de hacker, resultando em perdas de ativos superiores a 300 mil dólares. A equipe de segurança realizou uma análise aprofundada deste incidente, revelando os detalhes e as causas do ataque.
Contexto do evento
Os atacantes exploraram uma vulnerabilidade na característica de armazenamento transitório introduzida na versão 0.8.24 do Solidity. O armazenamento transitório é uma nova localização de armazenamento de dados, destinada a fornecer uma forma de armazenamento temporário de baixo custo e eficaz durante a transação. No entanto, a implementação dessa característica neste projeto apresenta falhas, tornando-se um ponto de entrada para ataques de hackers.
Princípio do ataque
O cerne do ataque reside no fato de que os dados na memória transitória permanecem válidos durante todo o período da transação, em vez de serem limpos após o término de cada chamada de função. O atacante aproveitou habilmente essa característica, contornando o mecanismo de verificação de permissões do contrato por meio de uma sequência de transações cuidadosamente projetadas.
Etapas do ataque
Situação de perdas
De acordo com a análise na cadeia, os atacantes conseguiram roubar cerca de 300 mil dólares em ativos, incluindo:
O atacante em seguida converteu todos os ativos roubados em WETH e os transferiu para uma ferramenta de anonimização.
Sugestões de segurança
Para prevenir ataques semelhantes, a equipe do projeto deve:
Este incidente lembra-nos mais uma vez que, enquanto a tecnologia blockchain continua a desenvolver-se rapidamente, os problemas de segurança permanecem um desafio contínuo. Os desenvolvedores de projetos precisam estar sempre atentos e atualizar constantemente as práticas de segurança para proteger a segurança dos ativos dos usuários.