В последнее время на платформе Pump произошел серьезный инцидент кражи средств. В данной статье будет подробно разобрана история этого события и обсуждены извлеченные уроки.
Анализ процесса атаки
Инициатором этого инцидента, вероятно, является не выдающийся хакер, а бывший сотрудник Pump. Этот человек имел доступ к кошельку с правами для создания торговых пар на одной из децентрализованных торговых платформ, который мы называем "украденным аккаунтом". В то же время ликвидные пулы токенов, которые еще не соответствуют стандартам листинга на Pump, называются "резервным аккаунтом".
Атакующий сначала получил молниеносный заем через платформу кредитования, чтобы заполнить все токеновые пулы, не соответствующие стандартам размещения. В нормальных условиях, когда пул достигает стандартов, SOL из подготовительного аккаунта переводится на украденный аккаунт. Однако в этом процессе атакующий вывел переведенный SOL, что привело к тому, что токены, которые должны были быть размещены и заблокированы для ликвидности, не смогли быть размещены вовремя.
Анализ жертв
Согласно анализу, эта атака не повлияла на средства кредитной платформы, так как займ был возвращен в том же блоке. Токены, которые уже размещены на децентрализованных торговых платформах, также не должны быть затронуты, поскольку их ликвидность заблокирована.
Настоящие потери понесли пользователи, купившие токены в неполных пулах на платформе Pump до атаки. Их SOL были переведены во время вышеупомянутой атаки, что также объясняет, почему первоначальная оценка суммы потерь была такой высокой. Однако, согласно последним новостям, реальные потери составили около 2 миллионов долларов.
Возможные причины, по которым злоумышленник может получить приватный ключ
Безусловно, это отражает значительную недоработку команды проекта в области управления правами. Мы можем предположить, что заполнение токенового пула могло быть одной из рабочих обязанностей злоумышленника. Аналогично тому, как некоторые социальные платформы на ранних стадиях использовали официальных ботов для стимулирования активности торговли, Pump, возможно, также поручил злоумышленнику заполнение ликвидного пула новых выпущенных токенов (возможно, включая некоторые тестовые токены) с использованием средств проекта, чтобы привлечь внимание и осуществить «холодный старт». К сожалению, это в конечном итоге стало уязвимостью внутренней угрозы.
Уроки и выводы
Для подражателей просто копировать поверхностные функции недостаточно. Необходимо осознать, что простая разработка продукта не привлечет пользователей автоматически. В проектах с взаимопомощью предоставление первоначального импульса имеет решающее значение.
Проектная команда должна придавать большое значение управлению правами и мерам безопасности. Этот инцидент вновь подчеркнул серьезность внутренних угроз и необходимость создания эффективной системы распределения прав и мониторинга.
Пользователи должны оставаться бдительными при участии в новых платформах, особенно в отношении недостаточно проверенных проектов. Диверсификация инвестиций, тщательное изучение истории проектов и внимание к отзывам сообщества являются эффективными способами снижения рисков.
Необходима дальнейшая доработка механизмов отраслевого регулирования и саморегулирования. Похожие события подчеркивают необходимость усиления саморегулирования в отрасли и создания более строгих механизмов аудита.
Этот инцидент стал тревожным сигналом для всей криптовалютной экосистемы, напоминая нам о том, что при стремлении к инновациям нельзя игнорировать основные принципы безопасности и управления рисками. Только найдя баланс между безопасностью и инновациями, мы сможем способствовать здоровому развитию отрасли.
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
18 Лайков
Награда
18
7
Репост
Поделиться
комментарий
0/400
PoetryOnChain
· 11ч назад
Внутренний предатель - это просто RATS.
Посмотреть ОригиналОтветить0
StablecoinArbitrageur
· 13ч назад
буквально пик альфа утечки... классическая эксплуатация администраторских прав, смх 2м пропали просто так
Посмотреть ОригиналОтветить0
DefiPlaybook
· 15ч назад
Команда сотрудников мошенничество клиповые купоны, да?
Посмотреть ОригиналОтветить0
ShitcoinConnoisseur
· 15ч назад
Может установить предателя? Совесть отрасли!
Посмотреть ОригиналОтветить0
MEVEye
· 15ч назад
Это сделал предатель.
Посмотреть ОригиналОтветить0
AltcoinOracle
· 16ч назад
честно говоря, модель безопасности pump кажется прямо средневековой... внутренние дела становятся новым мета ф
Платформа Pump подверглась внутреннему краже 2 миллиона долларов, что подчеркивает важность управления правами доступа.
Подробное объяснение инцидента с похищением Pump
В последнее время на платформе Pump произошел серьезный инцидент кражи средств. В данной статье будет подробно разобрана история этого события и обсуждены извлеченные уроки.
Анализ процесса атаки
Инициатором этого инцидента, вероятно, является не выдающийся хакер, а бывший сотрудник Pump. Этот человек имел доступ к кошельку с правами для создания торговых пар на одной из децентрализованных торговых платформ, который мы называем "украденным аккаунтом". В то же время ликвидные пулы токенов, которые еще не соответствуют стандартам листинга на Pump, называются "резервным аккаунтом".
Атакующий сначала получил молниеносный заем через платформу кредитования, чтобы заполнить все токеновые пулы, не соответствующие стандартам размещения. В нормальных условиях, когда пул достигает стандартов, SOL из подготовительного аккаунта переводится на украденный аккаунт. Однако в этом процессе атакующий вывел переведенный SOL, что привело к тому, что токены, которые должны были быть размещены и заблокированы для ликвидности, не смогли быть размещены вовремя.
Анализ жертв
Согласно анализу, эта атака не повлияла на средства кредитной платформы, так как займ был возвращен в том же блоке. Токены, которые уже размещены на децентрализованных торговых платформах, также не должны быть затронуты, поскольку их ликвидность заблокирована.
Настоящие потери понесли пользователи, купившие токены в неполных пулах на платформе Pump до атаки. Их SOL были переведены во время вышеупомянутой атаки, что также объясняет, почему первоначальная оценка суммы потерь была такой высокой. Однако, согласно последним новостям, реальные потери составили около 2 миллионов долларов.
Возможные причины, по которым злоумышленник может получить приватный ключ
Безусловно, это отражает значительную недоработку команды проекта в области управления правами. Мы можем предположить, что заполнение токенового пула могло быть одной из рабочих обязанностей злоумышленника. Аналогично тому, как некоторые социальные платформы на ранних стадиях использовали официальных ботов для стимулирования активности торговли, Pump, возможно, также поручил злоумышленнику заполнение ликвидного пула новых выпущенных токенов (возможно, включая некоторые тестовые токены) с использованием средств проекта, чтобы привлечь внимание и осуществить «холодный старт». К сожалению, это в конечном итоге стало уязвимостью внутренней угрозы.
Уроки и выводы
Для подражателей просто копировать поверхностные функции недостаточно. Необходимо осознать, что простая разработка продукта не привлечет пользователей автоматически. В проектах с взаимопомощью предоставление первоначального импульса имеет решающее значение.
Проектная команда должна придавать большое значение управлению правами и мерам безопасности. Этот инцидент вновь подчеркнул серьезность внутренних угроз и необходимость создания эффективной системы распределения прав и мониторинга.
Пользователи должны оставаться бдительными при участии в новых платформах, особенно в отношении недостаточно проверенных проектов. Диверсификация инвестиций, тщательное изучение истории проектов и внимание к отзывам сообщества являются эффективными способами снижения рисков.
Необходима дальнейшая доработка механизмов отраслевого регулирования и саморегулирования. Похожие события подчеркивают необходимость усиления саморегулирования в отрасли и создания более строгих механизмов аудита.
Этот инцидент стал тревожным сигналом для всей криптовалютной экосистемы, напоминая нам о том, что при стремлении к инновациям нельзя игнорировать основные принципы безопасности и управления рисками. Только найдя баланс между безопасностью и инновациями, мы сможем способствовать здоровому развитию отрасли.