Недавно инцидент безопасности, связанный с платформой Pump, привлек широкое внимание. В этой статье будет проведен подробный анализ инцидента и обсуждены уроки, которые из него можно извлечь.
Анализ процесса атаки
Атакующий в этом инциденте не является высококвалифицированным хакером, а, скорее всего, является бывшим сотрудником платформы Pump. Атакующий владеет ключевым кошельком, используемым для создания торговых пар токенов на определенном DEX, который мы называем "атакованный аккаунт". В то же время, ликвидные пулы токенов, которые еще не достигли стандартов запуска на платформе, называются "подготовленный аккаунт".
Атакующий взял взаймы средства через флеш-кредит, заполнив все недостигнутые пуллы. В нормальных условиях, когда пул достигает необходимых показателей, SOL из резервного счета должен быть переведен на атакующий счет. Однако атакующий перехватил SOL в этом процессе, что привело к тому, что токены, которые должны были быть запущены, не смогли выйти на DEX в срок.
Анализ жертв
Согласно анализу, пострадавшая сторона не включает платформу, предоставляющую заем под залог, поскольку заем был возвращен в одном и том же блоке. Кроме того, токены, уже запущенные на DEX, не должны пострадать, так как ликвидность была заблокирована.
На самом деле пострадали инвесторы, находившиеся в незаполненных пулах до начала атаки. Их вложенные SOL были украдены во время атаки. Это также объясняет, почему ущерб оценивается в десятки миллионов долларов (последние данные показывают, что фактические потери составили около 2 миллионов долларов).
Возможные причины, по которым злоумышленник получает приватный ключ
Основной причиной, безусловно, является наличие серьезных уязвимостей в внутреннем управлении платформы. Во-вторых, мы можем предположить, что заполнение пула токенов могло быть одной из рабочих обязанностей атакующего. Похожим образом, как некоторые социальные платформы в начале использовали автоматические покупательские роботы для создания ажиотажа, платформа Pump могла поручить атакующему заполнить пул новых выпущенных токенов за счет проектных средств, чтобы осуществить холодный старт и привлечь внимание. Эта практика в конечном итоге стала источником угрозы безопасности.
Уроки и выводы
Для платформ, имитирующих другие проекты, нельзя просто копировать поверхностные функции, необходимо также подумать о том, как предоставить начальный импульс для привлечения пользователей.
Платформа должна строго управлять внутренними правами доступа и усиливать меры безопасности. Особенно для ключевых операций необходимо внедрять многоуровневые механизмы безопасности, такие как многофакторная подпись.
На ранних этапах проекта, даже если используются некоторые стратегии для стимулирования роста, необходимо тщательно оценить потенциальные риски и разработать соответствующие механизмы выхода.
Инвесторы должны осторожно относиться к новым платформам, особенно к тем проектам, которые еще не создали完善ную систему управления рисками. Прежде чем участвовать, необходимо全面了解 техническую архитектуру и меры безопасности проекта.
Регулирующие органы в отрасли должны усилить проверку криптовалютных проектов, особенно установить более строгие стандарты в области управления доступом и безопасности средств.
Это событие снова напоминает нам о том, что в быстро развивающейся области криптовалют инновации и безопасность имеют одинаковое значение. Проектные команды должны одновременно стремиться к росту и всегда ставить безопасность средств пользователей на первое место.
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
18 Лайков
Награда
18
2
Поделиться
комментарий
0/400
SchrodingerAirdrop
· 07-25 16:23
Внутренние шпионы являются наибольшей угрозой.
Посмотреть ОригиналОтветить0
BearEatsAll
· 07-25 16:03
Сотрудники уже давно используют старую ловушку для кражи денег.
Анализ инцидента с атакой бывших сотрудников Pump платформы: уроки и выводы из потерь в 2 миллиона долларов
Анализ инцидента с уязвимостью на Pump платформе
Недавно инцидент безопасности, связанный с платформой Pump, привлек широкое внимание. В этой статье будет проведен подробный анализ инцидента и обсуждены уроки, которые из него можно извлечь.
Анализ процесса атаки
Атакующий в этом инциденте не является высококвалифицированным хакером, а, скорее всего, является бывшим сотрудником платформы Pump. Атакующий владеет ключевым кошельком, используемым для создания торговых пар токенов на определенном DEX, который мы называем "атакованный аккаунт". В то же время, ликвидные пулы токенов, которые еще не достигли стандартов запуска на платформе, называются "подготовленный аккаунт".
Атакующий взял взаймы средства через флеш-кредит, заполнив все недостигнутые пуллы. В нормальных условиях, когда пул достигает необходимых показателей, SOL из резервного счета должен быть переведен на атакующий счет. Однако атакующий перехватил SOL в этом процессе, что привело к тому, что токены, которые должны были быть запущены, не смогли выйти на DEX в срок.
Анализ жертв
Согласно анализу, пострадавшая сторона не включает платформу, предоставляющую заем под залог, поскольку заем был возвращен в одном и том же блоке. Кроме того, токены, уже запущенные на DEX, не должны пострадать, так как ликвидность была заблокирована.
На самом деле пострадали инвесторы, находившиеся в незаполненных пулах до начала атаки. Их вложенные SOL были украдены во время атаки. Это также объясняет, почему ущерб оценивается в десятки миллионов долларов (последние данные показывают, что фактические потери составили около 2 миллионов долларов).
Возможные причины, по которым злоумышленник получает приватный ключ
Основной причиной, безусловно, является наличие серьезных уязвимостей в внутреннем управлении платформы. Во-вторых, мы можем предположить, что заполнение пула токенов могло быть одной из рабочих обязанностей атакующего. Похожим образом, как некоторые социальные платформы в начале использовали автоматические покупательские роботы для создания ажиотажа, платформа Pump могла поручить атакующему заполнить пул новых выпущенных токенов за счет проектных средств, чтобы осуществить холодный старт и привлечь внимание. Эта практика в конечном итоге стала источником угрозы безопасности.
Уроки и выводы
Для платформ, имитирующих другие проекты, нельзя просто копировать поверхностные функции, необходимо также подумать о том, как предоставить начальный импульс для привлечения пользователей.
Платформа должна строго управлять внутренними правами доступа и усиливать меры безопасности. Особенно для ключевых операций необходимо внедрять многоуровневые механизмы безопасности, такие как многофакторная подпись.
На ранних этапах проекта, даже если используются некоторые стратегии для стимулирования роста, необходимо тщательно оценить потенциальные риски и разработать соответствующие механизмы выхода.
Инвесторы должны осторожно относиться к новым платформам, особенно к тем проектам, которые еще не создали完善ную систему управления рисками. Прежде чем участвовать, необходимо全面了解 техническую архитектуру и меры безопасности проекта.
Регулирующие органы в отрасли должны усилить проверку криптовалютных проектов, особенно установить более строгие стандарты в области управления доступом и безопасности средств.
Это событие снова напоминает нам о том, что в быстро развивающейся области криптовалют инновации и безопасность имеют одинаковое значение. Проектные команды должны одновременно стремиться к росту и всегда ставить безопасность средств пользователей на первое место.