Belakangan ini, sebuah insiden keamanan yang melibatkan platform Pump menarik perhatian luas. Artikel ini akan menganalisis insiden tersebut secara rinci dan membahas pelajaran yang didapat.
Analisis Proses Serangan
Penyerang dalam peristiwa ini bukanlah hacker tingkat tinggi, melainkan kemungkinan merupakan mantan karyawan dari platform Pump. Penyerang menguasai akun dompet kunci yang digunakan untuk membuat pasangan perdagangan token di DEX tertentu, yang kami sebut sebagai "akun yang diserang". Sementara itu, kumpulan likuiditas token yang belum mencapai standar peluncuran di platform disebut sebagai "akun persiapan".
Penyerang meminjam dana melalui pinjaman kilat untuk mengisi semua kolam yang tidak memenuhi syarat. Dalam kondisi normal, ketika kolam memenuhi syarat, SOL yang ada di akun persiapan seharusnya dipindahkan ke akun yang diserang. Namun, penyerang dalam proses ini menyita SOL yang dipindahkan, sehingga token yang seharusnya diluncurkan tidak dapat terdaftar di DEX sesuai jadwal.
Analisis Korban
Menurut analisis, pihak yang dirugikan tidak termasuk platform yang menyediakan pinjaman kilat, karena pinjaman telah dilunasi dalam blok yang sama. Selain itu, token yang telah diluncurkan di DEX karena likuiditas telah terkunci, seharusnya tidak terpengaruh.
Kerugian yang sebenarnya dialami oleh para investor di semua kolam yang belum terisi sebelum serangan terjadi. SOL yang mereka investasikan telah dipindahkan selama serangan. Ini juga menjelaskan mengapa estimasi kerugian mencapai puluhan juta dolar (data terbaru menunjukkan kerugian sebenarnya sekitar 2 juta dolar).
Kemungkinan Penyebab Penyerang Mendapatkan Kunci Pribadi
Alasan utama tanpa diragukan lagi adalah adanya celah serius dalam manajemen internal platform. Selanjutnya, kita bisa berspekulasi bahwa mengisi kolam token mungkin adalah salah satu tanggung jawab kerja penyerang sebelumnya. Mirip dengan beberapa platform sosial yang menggunakan robot pembelian otomatis di awal untuk menciptakan hype, platform Pump mungkin pernah mempercayakan penyerang untuk mengisi kolam token yang baru diterbitkan dengan dana proyek, untuk mencapai peluncuran dingin dan menarik perhatian. Praktik ini akhirnya menjadi risiko keamanan.
Pengalaman dan Pelajaran
Untuk platform yang meniru proyek lain, tidak cukup hanya menyalin fungsi permukaan, tetapi juga perlu mempertimbangkan bagaimana menyediakan dorongan awal untuk menarik pengguna.
Platform harus secara ketat mengelola hak akses internal dan memperkuat langkah-langkah keamanan. Khususnya untuk operasi kunci, mekanisme keamanan tingkat lanjut seperti tanda tangan ganda harus diterapkan.
Di tahap awal proyek, bahkan jika menggunakan beberapa strategi untuk mendorong pertumbuhan, penting untuk secara menyeluruh mengevaluasi risiko potensial dan merumuskan mekanisme keluar yang sesuai.
Investor harus berhati-hati terhadap platform baru, terutama proyek yang belum memiliki sistem pengendalian risiko yang baik. Sebelum berpartisipasi, harus memahami secara menyeluruh arsitektur teknologi dan langkah-langkah keamanan proyek.
Badan pengatur industri harus memperkuat pengawasan terhadap proyek cryptocurrency, terutama dengan menetapkan standar yang lebih ketat dalam manajemen izin dan keamanan dana.
Peristiwa ini sekali lagi mengingatkan kita bahwa dalam bidang cryptocurrency yang berkembang pesat, inovasi dan keamanan sama-sama penting. Pihak proyek perlu selalu mengutamakan keamanan dana pengguna sambil mengejar pertumbuhan.
Halaman ini mungkin berisi konten pihak ketiga, yang disediakan untuk tujuan informasi saja (bukan pernyataan/jaminan) dan tidak boleh dianggap sebagai dukungan terhadap pandangannya oleh Gate, atau sebagai nasihat keuangan atau profesional. Lihat Penafian untuk detailnya.
Analisis Insiden Serangan Mantan Karyawan di Pump平台: Pelajaran dan Pencerahan dari Kerugian 2 Juta Dolar
Analisis Kejadian Kebocoran di Platform Pump
Belakangan ini, sebuah insiden keamanan yang melibatkan platform Pump menarik perhatian luas. Artikel ini akan menganalisis insiden tersebut secara rinci dan membahas pelajaran yang didapat.
Analisis Proses Serangan
Penyerang dalam peristiwa ini bukanlah hacker tingkat tinggi, melainkan kemungkinan merupakan mantan karyawan dari platform Pump. Penyerang menguasai akun dompet kunci yang digunakan untuk membuat pasangan perdagangan token di DEX tertentu, yang kami sebut sebagai "akun yang diserang". Sementara itu, kumpulan likuiditas token yang belum mencapai standar peluncuran di platform disebut sebagai "akun persiapan".
Penyerang meminjam dana melalui pinjaman kilat untuk mengisi semua kolam yang tidak memenuhi syarat. Dalam kondisi normal, ketika kolam memenuhi syarat, SOL yang ada di akun persiapan seharusnya dipindahkan ke akun yang diserang. Namun, penyerang dalam proses ini menyita SOL yang dipindahkan, sehingga token yang seharusnya diluncurkan tidak dapat terdaftar di DEX sesuai jadwal.
Analisis Korban
Menurut analisis, pihak yang dirugikan tidak termasuk platform yang menyediakan pinjaman kilat, karena pinjaman telah dilunasi dalam blok yang sama. Selain itu, token yang telah diluncurkan di DEX karena likuiditas telah terkunci, seharusnya tidak terpengaruh.
Kerugian yang sebenarnya dialami oleh para investor di semua kolam yang belum terisi sebelum serangan terjadi. SOL yang mereka investasikan telah dipindahkan selama serangan. Ini juga menjelaskan mengapa estimasi kerugian mencapai puluhan juta dolar (data terbaru menunjukkan kerugian sebenarnya sekitar 2 juta dolar).
Kemungkinan Penyebab Penyerang Mendapatkan Kunci Pribadi
Alasan utama tanpa diragukan lagi adalah adanya celah serius dalam manajemen internal platform. Selanjutnya, kita bisa berspekulasi bahwa mengisi kolam token mungkin adalah salah satu tanggung jawab kerja penyerang sebelumnya. Mirip dengan beberapa platform sosial yang menggunakan robot pembelian otomatis di awal untuk menciptakan hype, platform Pump mungkin pernah mempercayakan penyerang untuk mengisi kolam token yang baru diterbitkan dengan dana proyek, untuk mencapai peluncuran dingin dan menarik perhatian. Praktik ini akhirnya menjadi risiko keamanan.
Pengalaman dan Pelajaran
Untuk platform yang meniru proyek lain, tidak cukup hanya menyalin fungsi permukaan, tetapi juga perlu mempertimbangkan bagaimana menyediakan dorongan awal untuk menarik pengguna.
Platform harus secara ketat mengelola hak akses internal dan memperkuat langkah-langkah keamanan. Khususnya untuk operasi kunci, mekanisme keamanan tingkat lanjut seperti tanda tangan ganda harus diterapkan.
Di tahap awal proyek, bahkan jika menggunakan beberapa strategi untuk mendorong pertumbuhan, penting untuk secara menyeluruh mengevaluasi risiko potensial dan merumuskan mekanisme keluar yang sesuai.
Investor harus berhati-hati terhadap platform baru, terutama proyek yang belum memiliki sistem pengendalian risiko yang baik. Sebelum berpartisipasi, harus memahami secara menyeluruh arsitektur teknologi dan langkah-langkah keamanan proyek.
Badan pengatur industri harus memperkuat pengawasan terhadap proyek cryptocurrency, terutama dengan menetapkan standar yang lebih ketat dalam manajemen izin dan keamanan dana.
Peristiwa ini sekali lagi mengingatkan kita bahwa dalam bidang cryptocurrency yang berkembang pesat, inovasi dan keamanan sama-sama penting. Pihak proyek perlu selalu mengutamakan keamanan dana pengguna sambil mengejar pertumbuhan.