Gần đây, một sự kiện an ninh liên quan đến nền tảng Pump đã thu hút sự chú ý rộng rãi. Bài viết này sẽ phân tích chi tiết sự kiện và khám phá những bài học rút ra từ đó.
Phân tích quá trình tấn công
Kẻ tấn công trong sự kiện này không phải là hacker cao cấp, mà rất có thể là cựu nhân viên của nền tảng Pump. Kẻ tấn công nắm giữ tài khoản ví quan trọng được sử dụng để tạo cặp giao dịch token trên một DEX, chúng tôi gọi đó là "tài khoản bị tấn công". Đồng thời, các bể thanh khoản token chưa đạt tiêu chuẩn lên sóng trên nền tảng được gọi là "tài khoản dự bị".
Kẻ tấn công đã mượn tiền thông qua khoản vay chớp nhoáng, lấp đầy tất cả các pool không đạt tiêu chuẩn. Trong điều kiện bình thường, khi các pool đạt tiêu chuẩn, SOL trong tài khoản chuẩn bị sẽ được chuyển vào tài khoản bị tấn công. Tuy nhiên, kẻ tấn công đã chặn SOL chuyển vào trong quá trình này, dẫn đến việc những token vốn dĩ sẽ được niêm yết không thể lên sàn DEX đúng hạn.
Phân tích nạn nhân
Theo phân tích, bên bị hại không bao gồm nền tảng cung cấp khoản vay chớp nhoáng, vì khoản vay đã được hoàn trả trong cùng một khối. Ngoài ra, các token đã được niêm yết trên DEX do tính thanh khoản đã bị khóa, nên không bị ảnh hưởng.
Những người thực sự chịu thiệt hại là những nhà đầu tư trong các bể chưa đầy trước khi cuộc tấn công xảy ra. SOL mà họ đã đầu tư đã bị chuyển đi trong cuộc tấn công. Điều này cũng giải thích tại sao ước tính thiệt hại lên tới hàng chục triệu đô la (dữ liệu mới nhất cho thấy thiệt hại thực tế khoảng 2 triệu đô la).
Nguyên nhân có thể khiến kẻ tấn công lấy được khóa riêng
Nguyên nhân chính không thể nghi ngờ là nền tảng có những lỗ hổng nghiêm trọng trong quản lý nội bộ. Thứ hai, chúng ta có thể suy đoán rằng việc lấp đầy hồ bơi token có thể đã là một trong những nhiệm vụ trước đây của kẻ tấn công. Giống như một số nền tảng xã hội đã sử dụng robot mua tự động để tạo ra sự nóng sốt trong giai đoạn đầu, nền tảng Pump có thể đã ủy thác cho kẻ tấn công chịu trách nhiệm lấp đầy hồ bơi token mới phát hành bằng vốn dự án, nhằm đạt được khởi động lạnh và thu hút sự chú ý. Cách làm này cuối cùng đã trở thành một nguy cơ an ninh.
Bài học kinh nghiệm
Đối với nền tảng mô phỏng các dự án khác, không thể chỉ sao chép các chức năng bề mặt, mà còn cần xem xét cách cung cấp động lực ban đầu để thu hút người dùng.
Nền tảng phải quản lý nghiêm ngặt quyền truy cập nội bộ, tăng cường các biện pháp an ninh. Đặc biệt đối với các thao tác quan trọng, cần thực hiện các cơ chế an ninh nâng cao như chữ ký đa chữ ký.
Trong giai đoạn đầu của dự án, ngay cả khi áp dụng một số chiến lược thúc đẩy tăng trưởng, cũng cần đánh giá đầy đủ các rủi ro tiềm ẩn và xây dựng cơ chế thoái lui tương ứng.
Các nhà đầu tư nên thận trọng với các nền tảng mới nổi, đặc biệt là những dự án chưa thiết lập hệ thống quản lý rủi ro hoàn thiện. Trước khi tham gia, cần hiểu rõ về kiến trúc công nghệ và các biện pháp an toàn của dự án.
Các cơ quan quản lý ngành nên tăng cường việc xem xét các dự án tiền điện tử, đặc biệt là thiết lập các tiêu chuẩn nghiêm ngặt hơn về quản lý quyền hạn và an toàn tài chính.
Sự kiện này một lần nữa nhắc nhở chúng ta rằng, trong lĩnh vực tiền điện tử đang phát triển nhanh chóng, đổi mới và an toàn đều quan trọng như nhau. Các dự án cần phải luôn đặt sự an toàn của quỹ người dùng lên hàng đầu trong khi theo đuổi sự tăng trưởng.
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
Phân tích sự cố tấn công của nhân viên cũ tại nền tảng Pump: Bài học và gợi ý từ khoản lỗ 2 triệu đô la.
Phân tích sự cố lỗ hổng Pump nền tảng
Gần đây, một sự kiện an ninh liên quan đến nền tảng Pump đã thu hút sự chú ý rộng rãi. Bài viết này sẽ phân tích chi tiết sự kiện và khám phá những bài học rút ra từ đó.
Phân tích quá trình tấn công
Kẻ tấn công trong sự kiện này không phải là hacker cao cấp, mà rất có thể là cựu nhân viên của nền tảng Pump. Kẻ tấn công nắm giữ tài khoản ví quan trọng được sử dụng để tạo cặp giao dịch token trên một DEX, chúng tôi gọi đó là "tài khoản bị tấn công". Đồng thời, các bể thanh khoản token chưa đạt tiêu chuẩn lên sóng trên nền tảng được gọi là "tài khoản dự bị".
Kẻ tấn công đã mượn tiền thông qua khoản vay chớp nhoáng, lấp đầy tất cả các pool không đạt tiêu chuẩn. Trong điều kiện bình thường, khi các pool đạt tiêu chuẩn, SOL trong tài khoản chuẩn bị sẽ được chuyển vào tài khoản bị tấn công. Tuy nhiên, kẻ tấn công đã chặn SOL chuyển vào trong quá trình này, dẫn đến việc những token vốn dĩ sẽ được niêm yết không thể lên sàn DEX đúng hạn.
Phân tích nạn nhân
Theo phân tích, bên bị hại không bao gồm nền tảng cung cấp khoản vay chớp nhoáng, vì khoản vay đã được hoàn trả trong cùng một khối. Ngoài ra, các token đã được niêm yết trên DEX do tính thanh khoản đã bị khóa, nên không bị ảnh hưởng.
Những người thực sự chịu thiệt hại là những nhà đầu tư trong các bể chưa đầy trước khi cuộc tấn công xảy ra. SOL mà họ đã đầu tư đã bị chuyển đi trong cuộc tấn công. Điều này cũng giải thích tại sao ước tính thiệt hại lên tới hàng chục triệu đô la (dữ liệu mới nhất cho thấy thiệt hại thực tế khoảng 2 triệu đô la).
Nguyên nhân có thể khiến kẻ tấn công lấy được khóa riêng
Nguyên nhân chính không thể nghi ngờ là nền tảng có những lỗ hổng nghiêm trọng trong quản lý nội bộ. Thứ hai, chúng ta có thể suy đoán rằng việc lấp đầy hồ bơi token có thể đã là một trong những nhiệm vụ trước đây của kẻ tấn công. Giống như một số nền tảng xã hội đã sử dụng robot mua tự động để tạo ra sự nóng sốt trong giai đoạn đầu, nền tảng Pump có thể đã ủy thác cho kẻ tấn công chịu trách nhiệm lấp đầy hồ bơi token mới phát hành bằng vốn dự án, nhằm đạt được khởi động lạnh và thu hút sự chú ý. Cách làm này cuối cùng đã trở thành một nguy cơ an ninh.
Bài học kinh nghiệm
Đối với nền tảng mô phỏng các dự án khác, không thể chỉ sao chép các chức năng bề mặt, mà còn cần xem xét cách cung cấp động lực ban đầu để thu hút người dùng.
Nền tảng phải quản lý nghiêm ngặt quyền truy cập nội bộ, tăng cường các biện pháp an ninh. Đặc biệt đối với các thao tác quan trọng, cần thực hiện các cơ chế an ninh nâng cao như chữ ký đa chữ ký.
Trong giai đoạn đầu của dự án, ngay cả khi áp dụng một số chiến lược thúc đẩy tăng trưởng, cũng cần đánh giá đầy đủ các rủi ro tiềm ẩn và xây dựng cơ chế thoái lui tương ứng.
Các nhà đầu tư nên thận trọng với các nền tảng mới nổi, đặc biệt là những dự án chưa thiết lập hệ thống quản lý rủi ro hoàn thiện. Trước khi tham gia, cần hiểu rõ về kiến trúc công nghệ và các biện pháp an toàn của dự án.
Các cơ quan quản lý ngành nên tăng cường việc xem xét các dự án tiền điện tử, đặc biệt là thiết lập các tiêu chuẩn nghiêm ngặt hơn về quản lý quyền hạn và an toàn tài chính.
Sự kiện này một lần nữa nhắc nhở chúng ta rằng, trong lĩnh vực tiền điện tử đang phát triển nhanh chóng, đổi mới và an toàn đều quan trọng như nhau. Các dự án cần phải luôn đặt sự an toàn của quỹ người dùng lên hàng đầu trong khi theo đuổi sự tăng trưởng.