瞬態ストレージの脆弱性がイーサリアムプロジェクトに30万ドルの攻撃をもたらす。セキュリティチームが重要な詳細を解析。

GasWhisperer

2025-07-16 00:17:14

概要作成中

瞬態ストレージの脆弱性が引き起こした30万ドルのオンチェーン攻撃事件分析

2025年3月30日、あるイーサリアムオンチェーンのレバレッジ取引プロジェクトが攻撃を受け、30万ドル以上の資産損失が発生しました。セキュリティチームはこの事件について詳細な分析を行い、以下の結果を共有します。

背景

Solidity 0.8.24バージョンは、瞬态存储(transient storage)機能を導入しました。これは新しいデータストレージ位置です。その主な特徴には以下が含まれます：

低gasコスト：TSTOREとTLOAD操作のgasコストは固定で100です。
取引中の永続性:データは、取引の全期間にわたって有効なままです。
自動クリア：取引終了後、一時ストレージは自動的にゼロにリセットされます。

! 致命的な残留物:一時的なストレージによって引き起こされた300,000ドルのオンチェーン強盗

攻撃の理由

今回の事件の根本的な原因は、関数内でtstoreを使用して一時的に保存された値が関数呼び出し終了後にクリアされなかったことです。攻撃者はこの特性を利用して特定の悪意のあるアドレスを構築し、権限チェックを回避してトークンを転送しました。

! 致命的な残留物:一時的なストレージによって引き起こされた300,000ドルのオンチェーン強盗

攻撃ステップ

攻撃者は2つの悪意のあるトークンAとBを作成し、あるDEXでこれらのトークンのプールを作成して流動性を注入します。
攻撃者はVaultコントラクトのinitialize関数を呼び出し、Aトークンを担保トークン、Bトークンを債務トークンとしてレバレッジ取引市場を作成します。
攻撃者はVaultコントラクトのmint関数を呼び出し、債務トークンBを預け入れてレバレッジトークンを鋳造します。この過程で、DEXプールのアドレスが初めて一時的に保存されます。
DEXプールが交換操作を行うと、VaultコントラクトのuniswapV3SwapCallback関数がコールバックされます。この関数はtloadを使用して一時ストレージから値を取得し、呼び出し元の身元を検証し、鋳造された数量を二度目の一時ストレージに保存します。
攻撃者は、2回目の一時的ストレージの値と同じアドレスを持つ悪意のあるコントラクトを作成します。
攻撃者はこの悪意のあるコントラクトを通じてVaultコントラクトのuniswapV3SwapCallback関数を直接呼び出してトークンを引き出します。瞬時ストレージ内の値がクリアされていないため、認証が誤って通過してしまいます。
最後に、攻撃者はコントラクト(Aトークン)を攻撃してVaultコントラクトのuniswapV3SwapCallback関数を呼び出し、Vaultコントラクト内の他のトークン(WBTCやWETHなど)を転送して利益を得ます。

! 致命的な残留物:一時的なストレージによって引き起こされた300,000ドルのオンチェーン強盗

資金の流れの分析

オンチェーンのマネーロンダリングおよび追跡ツールの分析によると、攻撃者は約30万ドルの資産を盗みました。これには、

17,814.8626ドルc
1.4085 WBTCの
119.871 ウェス

その後、攻撃者はWBTCとUSDCをWETHに交換し、合計193.1428 WETHがある混合ツールに転送されました。攻撃者の初期資金は、その混合ツールから転送された0.3 ETHに由来します。

! [致命的な残留物:一時的なストレージによって引き起こされた300,000ドルのオンチェーン強盗](https://img-cdn.gateio.im/webp-social/moments-904133c007422770dd55372438c3d257.webp0192837465674839201

! [致命的な残留物:一時的なストレージによって引き起こされた300,000ドルのオンチェーン強盗])https://img-cdn.gateio.im/webp-social/moments-c2206fe20197a3835ddb92319314e4eb.webp(