Нещодавно платформа Pump зазнала серйозного випадку крадіжки коштів. У цій статті буде детально розглянуто хід подій і обговорено уроки, які з цього випливають.
Аналіз процесу атак
Ініціатором цього інциденту не є висококласний хакер, а, ймовірно, колишній працівник Pump. Ця особа мала доступ до гаманця з правами на створення торгових пар на певній децентралізованій біржі, який ми називаємо "викраденим рахунком". Тим часом, ліквідність токенів на Pump, яка ще не досягла стандартів для лістингу, називається "підготовчим рахунком".
Зловмисник спочатку отримав миттєвий кредит через платформу позик, щоб заповнити всі токенові резервуари, які не досягли стандарту для розміщення. У нормальних умовах, коли резервуар досягає стандарту, SOL з підготовчого рахунку буде переведено на рахунок, що було вкрадено. Однак, зловмисник у цьому процесі витягнув переведені SOL, що призвело до того, що ці токени, які мали бути розміщені та заблокувати ліквідність, не змогли бути розміщені вчасно.
Аналіз жертв
Згідно з аналізом, ця атака не вплинула на кошти кредитної платформи, оскільки швидкі позики були повернені в тому ж блоці. Токени, які вже розміщені на децентралізованій біржі, також не повинні постраждати, оскільки ліквідність вже заблокована.
Насправді постраждали ті, хто купив токени в усіх неповних пулах на платформі Pump до нападу. Їхні SOL були переведені під час вищезазначеного нападу, що також пояснює, чому початково оцінені збитки були такими великими. Проте, останні новини показують, що фактичні збитки становлять близько 2 мільйонів доларів.
Можливі причини отримання приватного ключа зловмисником
Без сумніву, це відображає серйозну недбалість команди проєкту в управлінні правами. Ми можемо припустити, що заповнення пулу токенів могло бути одним з обов'язків атакуючого раніше. Подібно до того, як деякі соціальні платформи на ранніх етапах використовували офіційних ботів для стимулювання активності торгівлі, Pump також міг доручити атакуючому заповнити ліквідний пул нововиданих токенів за рахунок коштів проєкту (ймовірно, включаючи деякі тестові токени), щоб залучити увагу та здійснити холодний старт. На жаль, це врешті-решт стало відправною точкою для внутрішньої загрози.
Уроки та висновки
Для імітаторів просто копіювати поверхневі функції недостатньо. Слід усвідомити, що просте розроблення продукту не призведе автоматично до залучення користувачів. У партнерських проектах важливо надати початковий імпульс.
Проектна команда повинна приділяти велике значення управлінню доступом та заходам безпеки. Ця подія ще раз підкреслила серйозність внутрішніх загроз і наголосила на необхідності створення ефективних механізмів розподілу прав доступу та моніторингу.
Користувачі повинні бути обережними при участі в нових платформах, особливо щодо проектів, які не були достатньо перевірені. Диверсифікація інвестицій, ретельне вивчення фону проекту та увага до відгуків спільноти є ефективними способами зменшення ризиків.
Галузевий нагляд та механізми саморегуляції потребують подальшого вдосконалення. Схожі інциденти підкреслюють необхідність посилення саморегуляції у галузі та встановлення більш суворих механізмів аудиту.
Ця подія сповістила всю екосистему криптовалют про небезпеку, нагадуючи нам про те, що, прагнучи до інновацій, ми не повинні ігнорувати основні принципи безпеки та управління ризиками. Тільки знайшовши баланс між безпекою та інноваціями, ми зможемо сприяти здоровому розвитку галузі.
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
18 лайків
Нагородити
18
7
Репост
Поділіться
Прокоментувати
0/400
PoetryOnChain
· 17год тому
Внутрішній зрадник — це просто RATS.
Переглянути оригіналвідповісти на0
StablecoinArbitrageur
· 19год тому
буквально пік альфа витоку... класичний експлойт адміністратора з дозволами смх 2м зникло просто так
Переглянути оригіналвідповісти на0
DefiPlaybook
· 21год тому
Команда співробітників шахрайство кліпові купони, так?
Переглянути оригіналвідповісти на0
ShitcoinConnoisseur
· 21год тому
Чи можна встановити зрадника? Сумління галузі.
Переглянути оригіналвідповісти на0
MEVEye
· 21год тому
Це зроблено зрадником
Переглянути оригіналвідповісти на0
AltcoinOracle
· 21год тому
чесно кажучи, модель безпеки pump виглядає прямо середньовічною... внутрішні зловживання стають новим метою fr
Платформа Pump зазнала внутрішнього крадіжки 2 мільйони доларів, що підкреслює важливість управління правами доступу.
Детальний аналіз інциденту з крадіжкою Pump
Нещодавно платформа Pump зазнала серйозного випадку крадіжки коштів. У цій статті буде детально розглянуто хід подій і обговорено уроки, які з цього випливають.
Аналіз процесу атак
Ініціатором цього інциденту не є висококласний хакер, а, ймовірно, колишній працівник Pump. Ця особа мала доступ до гаманця з правами на створення торгових пар на певній децентралізованій біржі, який ми називаємо "викраденим рахунком". Тим часом, ліквідність токенів на Pump, яка ще не досягла стандартів для лістингу, називається "підготовчим рахунком".
Зловмисник спочатку отримав миттєвий кредит через платформу позик, щоб заповнити всі токенові резервуари, які не досягли стандарту для розміщення. У нормальних умовах, коли резервуар досягає стандарту, SOL з підготовчого рахунку буде переведено на рахунок, що було вкрадено. Однак, зловмисник у цьому процесі витягнув переведені SOL, що призвело до того, що ці токени, які мали бути розміщені та заблокувати ліквідність, не змогли бути розміщені вчасно.
Аналіз жертв
Згідно з аналізом, ця атака не вплинула на кошти кредитної платформи, оскільки швидкі позики були повернені в тому ж блоці. Токени, які вже розміщені на децентралізованій біржі, також не повинні постраждати, оскільки ліквідність вже заблокована.
Насправді постраждали ті, хто купив токени в усіх неповних пулах на платформі Pump до нападу. Їхні SOL були переведені під час вищезазначеного нападу, що також пояснює, чому початково оцінені збитки були такими великими. Проте, останні новини показують, що фактичні збитки становлять близько 2 мільйонів доларів.
Можливі причини отримання приватного ключа зловмисником
Без сумніву, це відображає серйозну недбалість команди проєкту в управлінні правами. Ми можемо припустити, що заповнення пулу токенів могло бути одним з обов'язків атакуючого раніше. Подібно до того, як деякі соціальні платформи на ранніх етапах використовували офіційних ботів для стимулювання активності торгівлі, Pump також міг доручити атакуючому заповнити ліквідний пул нововиданих токенів за рахунок коштів проєкту (ймовірно, включаючи деякі тестові токени), щоб залучити увагу та здійснити холодний старт. На жаль, це врешті-решт стало відправною точкою для внутрішньої загрози.
Уроки та висновки
Для імітаторів просто копіювати поверхневі функції недостатньо. Слід усвідомити, що просте розроблення продукту не призведе автоматично до залучення користувачів. У партнерських проектах важливо надати початковий імпульс.
Проектна команда повинна приділяти велике значення управлінню доступом та заходам безпеки. Ця подія ще раз підкреслила серйозність внутрішніх загроз і наголосила на необхідності створення ефективних механізмів розподілу прав доступу та моніторингу.
Користувачі повинні бути обережними при участі в нових платформах, особливо щодо проектів, які не були достатньо перевірені. Диверсифікація інвестицій, ретельне вивчення фону проекту та увага до відгуків спільноти є ефективними способами зменшення ризиків.
Галузевий нагляд та механізми саморегуляції потребують подальшого вдосконалення. Схожі інциденти підкреслюють необхідність посилення саморегуляції у галузі та встановлення більш суворих механізмів аудиту.
Ця подія сповістила всю екосистему криптовалют про небезпеку, нагадуючи нам про те, що, прагнучи до інновацій, ми не повинні ігнорувати основні принципи безпеки та управління ризиками. Тільки знайшовши баланс між безпекою та інноваціями, ми зможемо сприяти здоровому розвитку галузі.