Ethereum Marj Trade projesi 300.000 dolarlık Hacker saldırısına uğradı
30 Mart 2025'te, Ethereum üzerinde çalışan bir marj ticareti projesi hacker saldırısının hedefi oldu ve 300.000 dolardan fazla varlık kaybına neden oldu. Güvenlik ekibi, bu olay üzerinde derinlemesine bir analiz gerçekleştirdi ve saldırının detaylarını ve nedenlerini açıkladı.
Olay Arka Planı
Saldırganlar, Solidity 0.8.24 sürümünde tanıtılan geçici depolama özelliğindeki bir açığı kullandı. Geçici depolama, düşük maliyetli, işlem süresince geçerli olan geçici bir depolama yöntemi sunmak için tasarlanmış yeni bir veri depolama konumudur. Ancak, bu özelliğin projedeki uygulanışında bir eksiklik bulunmakta ve bu durum hacker saldırısının bir kırılma noktası haline gelmiştir.
Saldırı Prensibi
Saldırının temelinde, geçici depolamadaki verilerin tüm işlem süresi boyunca geçerli kalması ve her fonksiyon çağrısı sona erdikten sonra silinmemesi yatıyor. Saldırgan, bu özelliği ustaca kullanarak, dikkatlice tasarlanmış işlem dizileri ile sözleşmedeki yetki kontrol mekanizmalarını aşmayı başardı.
Saldırı Adımları
Saldırgan iki özel token oluşturur ve bu iki token için bir DEX'te likidite havuzu oluşturur.
Bu iki tokeni hedef projede yeni bir Marj Trade piyasası oluşturmak için kullanın.
Borç tokenlerini yatırarak kaldıraç tokenleri mintleyin ve aynı zamanda geçici depolamada belirli bir değer bırakın.
Geçici depolamadaki değere eşleşen bir adresle kötü niyetli bir sözleşme oluşturun.
Bu kötü niyetli sözleşmeyi kullanarak hedef sözleşmenin geri çağırma fonksiyonunu çağırın ve yetki kontrolünü atlayın.
Son olarak, hedef sözleşmeden diğer değerli tokenleri doğrudan çıkarın.
Kayıp Durumu
Zincir analizi temelinde, saldırgan yaklaşık 300,000 dolar değerinde varlıkları başarıyla çaldı, bunlar arasında:
17,814.8626 USDC
1.4085 WBTC
119.871 WETH
Saldırgan daha sonra çalınan tüm varlıkları WETH'ye dönüştürdü ve bunları bir anonimleştirme aracına aktardı.
Güvenlik Önerileri
Benzer saldırıları önlemek için, proje ekibi şunları yapmalıdır:
Geçici depolama kullanılan fonksiyon çağrısı sona erdikten hemen sonra, depolanan değerleri temizleyin.
Sözleşme kodunun denetimini ve güvenlik test süreçlerini güçlendirin.
Yeni getirilen dil özelliklerini dikkatli kullanın, potansiyel risklerini tam olarak anlayın.
Bu olay, blockchain teknolojisinin hızla gelişirken güvenlik sorunlarının sürekli bir zorluk olmaya devam ettiğini bir kez daha hatırlatıyor. Proje geliştiricileri, kullanıcı varlıklarının güvenliğini korumak için sürekli olarak güvenlik uygulamalarını güncelleyerek dikkatli olmalıdır.
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
11 Likes
Reward
11
4
Share
Comment
0/400
screenshot_gains
· 4h ago
Sesi çıkmadan büyük para kazanmak, açıkları boşuna kullanmak
View OriginalReply0
CodeAuditQueen
· 4h ago
Zeka engelli mi? Hala 0.8.24 kullanan kim var?
View OriginalReply0
MissedAirdropAgain
· 4h ago
Ah, on-chain açıklarını bekledikten sonra proje yeniden inşasını bekliyorum. Kayıp yok, kaybetmediğimizi kendimiz biliyoruz.
Ethereum marj trade projesi 300.000 dolarlık hacker saldırısına uğradı, geçici depolama açığı kritik oldu.
Ethereum Marj Trade projesi 300.000 dolarlık Hacker saldırısına uğradı
30 Mart 2025'te, Ethereum üzerinde çalışan bir marj ticareti projesi hacker saldırısının hedefi oldu ve 300.000 dolardan fazla varlık kaybına neden oldu. Güvenlik ekibi, bu olay üzerinde derinlemesine bir analiz gerçekleştirdi ve saldırının detaylarını ve nedenlerini açıkladı.
Olay Arka Planı
Saldırganlar, Solidity 0.8.24 sürümünde tanıtılan geçici depolama özelliğindeki bir açığı kullandı. Geçici depolama, düşük maliyetli, işlem süresince geçerli olan geçici bir depolama yöntemi sunmak için tasarlanmış yeni bir veri depolama konumudur. Ancak, bu özelliğin projedeki uygulanışında bir eksiklik bulunmakta ve bu durum hacker saldırısının bir kırılma noktası haline gelmiştir.
Saldırı Prensibi
Saldırının temelinde, geçici depolamadaki verilerin tüm işlem süresi boyunca geçerli kalması ve her fonksiyon çağrısı sona erdikten sonra silinmemesi yatıyor. Saldırgan, bu özelliği ustaca kullanarak, dikkatlice tasarlanmış işlem dizileri ile sözleşmedeki yetki kontrol mekanizmalarını aşmayı başardı.
Saldırı Adımları
Kayıp Durumu
Zincir analizi temelinde, saldırgan yaklaşık 300,000 dolar değerinde varlıkları başarıyla çaldı, bunlar arasında:
Saldırgan daha sonra çalınan tüm varlıkları WETH'ye dönüştürdü ve bunları bir anonimleştirme aracına aktardı.
Güvenlik Önerileri
Benzer saldırıları önlemek için, proje ekibi şunları yapmalıdır:
Bu olay, blockchain teknolojisinin hızla gelişirken güvenlik sorunlarının sürekli bir zorluk olmaya devam ettiğini bir kez daha hatırlatıyor. Proje geliştiricileri, kullanıcı varlıklarının güvenliğini korumak için sürekli olarak güvenlik uygulamalarını güncelleyerek dikkatli olmalıdır.