Проект маржинальной торговли на Эфириуме подвергся хакерской атаке на 300000 долларов
30 марта 2025 года проект маржинальной торговли, работающий на Ethereum, стал целью хакерской атаки, что привело к потере активов на сумму более 300 тысяч долларов. Команда безопасности провела глубокий анализ этого инцидента, раскрывая детали и причины атаки.
Фон события
Атакующий использовал уязвимость в функции временного хранения, введенной в версии Solidity 0.8.24. Временное хранение — это новое место для хранения данных, предназначенное для предоставления недорогого временного способа хранения, действующего в течение транзакции. Однако реализация этой функции в данном проекте имеет дефекты, что стало лазейкой для хакерской атаки.
Принципы атаки
Суть атаки заключается в том, что данные во временном хранилище остаются действительными на протяжении всей транзакции, а не очищаются после завершения каждого вызова функции. Нападающий умело воспользовался этой особенностью, обойдя механизм проверки полномочий в контракте с помощью тщательно спроектированной последовательности транзакций.
Этапы атаки
Нападающий создает два пользовательских токена и создает ликвидностный пул для этих двух токенов на одном DEX.
Используйте эти два токена для создания нового рынка маржинальной торговли в целевом проекте.
Путем внесения долговых токенов можно создать маржинальные токены, одновременно оставляя в транзитном хранилище определенное значение.
Создайте вредоносный контракт, соответствующий значению в временном хранилище.
Используйте этот вредоносный контракт для вызова функции обратного вызова целевого контракта, обходя проверку прав доступа.
В конце концов, извлеките другие ценные токены непосредственно из целевого контракта.
Ситуация с потерями
Согласно анализу в блокчейне, злоумышленник успешно украл активы на сумму около 300 000 долларов, включая:
17,814.8626 USDC
1.4085 WBTC
119.871 ВТ
Злоумышленник затем преобразовал все украденные активы в WETH и перевел их в какой-то анонимный инструмент.
Рекомендации по безопасности
Чтобы предотвратить подобные атаки, проектная команда должна:
После завершения вызова функции, использующей временное хранилище, немедленно очистите сохраненные значения.
Усилить аудит кода контрактов и процессы тестирования безопасности.
Осторожно используйте новые языковые особенности, полностью понимая их потенциальные риски.
Этот инцидент вновь напоминает нам, что, несмотря на быстрые темпы развития технологии блокчейн, проблемы безопасности по-прежнему остаются постоянным вызовом. Разработчики проектов должны всегда быть на чеку и постоянно обновлять практики безопасности для защиты активов пользователей.
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
11 Лайков
Награда
11
4
Поделиться
комментарий
0/400
screenshot_gains
· 2ч назад
Зарабатывать деньги, не привлекая к себе внимания, использовать дыры в системе, чтобы получить деньги.
Посмотреть ОригиналОтветить0
CodeAuditQueen
· 2ч назад
Ты что, с ума сошел? Кто все еще использует 0.8.24?
Посмотреть ОригиналОтветить0
MissedAirdropAgain
· 2ч назад
Эх, жду, когда исправят уязвимость в блокчейне, и жду, когда проект будет реконструирован. Главное, что я сам знаю, что не потерял.
Посмотреть ОригиналОтветить0
GasOptimizer
· 2ч назад
Я был в шоке от этой атаки, ждал у точки целый день.
Ethereum Маржинальная торговля проект подвергся атаке Хакера на 300000 долларов США. Уязвимость временного хранилища стала ключевой.
Проект маржинальной торговли на Эфириуме подвергся хакерской атаке на 300000 долларов
30 марта 2025 года проект маржинальной торговли, работающий на Ethereum, стал целью хакерской атаки, что привело к потере активов на сумму более 300 тысяч долларов. Команда безопасности провела глубокий анализ этого инцидента, раскрывая детали и причины атаки.
Фон события
Атакующий использовал уязвимость в функции временного хранения, введенной в версии Solidity 0.8.24. Временное хранение — это новое место для хранения данных, предназначенное для предоставления недорогого временного способа хранения, действующего в течение транзакции. Однако реализация этой функции в данном проекте имеет дефекты, что стало лазейкой для хакерской атаки.
Принципы атаки
Суть атаки заключается в том, что данные во временном хранилище остаются действительными на протяжении всей транзакции, а не очищаются после завершения каждого вызова функции. Нападающий умело воспользовался этой особенностью, обойдя механизм проверки полномочий в контракте с помощью тщательно спроектированной последовательности транзакций.
Этапы атаки
Ситуация с потерями
Согласно анализу в блокчейне, злоумышленник успешно украл активы на сумму около 300 000 долларов, включая:
Злоумышленник затем преобразовал все украденные активы в WETH и перевел их в какой-то анонимный инструмент.
Рекомендации по безопасности
Чтобы предотвратить подобные атаки, проектная команда должна:
Этот инцидент вновь напоминает нам, что, несмотря на быстрые темпы развития технологии блокчейн, проблемы безопасности по-прежнему остаются постоянным вызовом. Разработчики проектов должны всегда быть на чеку и постоянно обновлять практики безопасности для защиты активов пользователей.