Проект маржинальної торгівлі Ethereum зазнав хакерської атаки на 300 тисяч доларів
30 березня 2025 року проект маржинальної торгівлі, що працює на Ethereum, став мішенню для хакерської атаки, що призвело до втрат активів на понад 300 тисяч доларів. Команда безпеки провела глибокий аналіз цієї події, розкривши деталі та причини атаки.
Фон події
Зловмисник скористався вразливістю, що виникла внаслідок впровадження функції тимчасового зберігання у версії Solidity 0.8.24. Тимчасове зберігання — це нове місце для зберігання даних, яке покликане забезпечити низьку вартість і ефективне тимчасове зберігання під час транзакції. Однак реалізація цієї функції в проекті мала недоліки, що стало проривом для хакерської атаки.
Принцип атаки
Суть атаки полягає в тому, що дані в транзитному сховищі залишаються дійсними протягом усього періоду угоди, а не очищуються після завершення кожного виклику функції. Зловмисник майстерно скористався цією властивістю, обійшовши механізм перевірки прав у контракті завдяки ретельно спроектованій послідовності угод.
Кроки атаки
Зловмисник створює два кастомні токени та створює пул ліквідності для цих двох токенів на певному DEX.
Використовуючи ці два токени, створити новий ринок маржинальної торгівлі в цільовому проекті.
Через внесення боргових токенів для випуску маржинальних токенів, одночасно залишаючи певне значення у транзитному сховищі.
Створіть адресу, що відповідає значенню в тимчасовому сховищі, з шкідливим контрактом.
Використовуючи цей шкідливий контракт, викликайте функцію зворотного виклику цільового контракту, обходячи перевірку прав доступу.
Нарешті, безпосередньо витягніть інші цінні токени з цільового контракту.
Ситуація зі збитками
Згідно з аналізом в ланцюгу, зловмисник успішно викрав близько 300 тисяч доларів активів, включаючи:
17 814,8626 доларів США
1,4085 WBTC
119.871 ЗХ.
Зловмисник потім перетворив усі вкрадені активи на WETH і перемістив їх до певного анонімного інструменту.
Рекомендації щодо безпеки
Щоб запобігти подібним атакам, команда проекту повинна:
Після завершення виклику функції, що використовує тимчасове сховище, негайно очистіть збережене значення.
Посилити аудит кодів контрактів та процеси тестування безпеки.
Обережно використовуйте нові мовні особливості, повністю розуміючи їх потенційні ризики.
Ця подія знову нагадує нам, що, незважаючи на швидкий розвиток технології блокчейн, проблеми безпеки залишаються постійним викликом. Розробники проектів повинні завжди бути насторожі, постійно оновлювати практики безпеки, щоб захистити активи користувачів.
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
13 лайків
Нагородити
13
4
Поділіться
Прокоментувати
0/400
screenshot_gains
· 20год тому
Мовчки заробляти великі гроші, безкоштовно отримувати гроші через дірки.
Переглянути оригіналвідповісти на0
CodeAuditQueen
· 20год тому
Ти що, з глузду з'їхав? Хто ще користується 0.8.24?
Переглянути оригіналвідповісти на0
MissedAirdropAgain
· 20год тому
Ех, чекав на вразливість у блокчейні, а тепер чекаю на реконструкцію проєкту. Не втрати, сам знаєш.
Ethereum Маржинальна торгівля проекту зазнала атаки Хакера на 300000 доларів США. Уразливість миттєчних сховищ стала ключовою.
Проект маржинальної торгівлі Ethereum зазнав хакерської атаки на 300 тисяч доларів
30 березня 2025 року проект маржинальної торгівлі, що працює на Ethereum, став мішенню для хакерської атаки, що призвело до втрат активів на понад 300 тисяч доларів. Команда безпеки провела глибокий аналіз цієї події, розкривши деталі та причини атаки.
Фон події
Зловмисник скористався вразливістю, що виникла внаслідок впровадження функції тимчасового зберігання у версії Solidity 0.8.24. Тимчасове зберігання — це нове місце для зберігання даних, яке покликане забезпечити низьку вартість і ефективне тимчасове зберігання під час транзакції. Однак реалізація цієї функції в проекті мала недоліки, що стало проривом для хакерської атаки.
Принцип атаки
Суть атаки полягає в тому, що дані в транзитному сховищі залишаються дійсними протягом усього періоду угоди, а не очищуються після завершення кожного виклику функції. Зловмисник майстерно скористався цією властивістю, обійшовши механізм перевірки прав у контракті завдяки ретельно спроектованій послідовності угод.
Кроки атаки
Ситуація зі збитками
Згідно з аналізом в ланцюгу, зловмисник успішно викрав близько 300 тисяч доларів активів, включаючи:
Зловмисник потім перетворив усі вкрадені активи на WETH і перемістив їх до певного анонімного інструменту.
Рекомендації щодо безпеки
Щоб запобігти подібним атакам, команда проекту повинна:
Ця подія знову нагадує нам, що, незважаючи на швидкий розвиток технології блокчейн, проблеми безпеки залишаються постійним викликом. Розробники проектів повинні завжди бути насторожі, постійно оновлювати практики безпеки, щоб захистити активи користувачів.