Недавно платформа Pump столкнулась с серьезным инцидентом кражи. После анализа профессионалов мы можем получить более глубокое понимание последовательности событий этого инцидента.
Процесс атаки
Атакующий не является выдающимся хакером, а, скорее всего, бывшим сотрудником Pump. Он получил доступ к ключевому кошельку, который отвечает за создание торговых пар новых токенов на определенной децентрализованной бирже. Мы называем этот кошелек "украденным кошельком". В то же время ликвидный пул новых токенов, которые еще не достигли стандартов листинга на Pump, называется "резервным кошельком".
Атакующий взял в займы большую сумму средств через кредитование под залог, чтобы заполнить все недостигнутые пулы токенов. В нормальных условиях, когда пул достигает стандарта, SOL из резервного счета должен быть переведен на украденный счет. Однако в этом процессе атакующий вывел переведенный SOL, что привело к тому, что эти токены не смогли быть размещены вовремя (поскольку пул уже пуст).
Анализ жертв
Анализ показывает, что основными жертвами являются те пользователи, которые приобрели токены в еще незаполненных пулах до атаки. Их SOL были украдены злоумышленниками. Это также объясняет, почему первоначально оцененные убытки могли достигать 80 миллионов долларов (последние данные показывают, что фактические убытки составляют около 2 миллионов долларов).
Следует отметить, что токены, которые уже были размещены, не должны пострадать от этой атаки, поскольку их ликвидность заблокирована. В то же время средства из flash-кредита были возвращены в том же блоке, поэтому кредитная платформа также не понесла убытков.
Предположение причин атаки
Этот инцидент выявил серьезные недостатки команды Pump в управлении правами. Мы можем предположить, что злоумышленник, возможно, отвечал за наполнение токенов в пуле. Подобно действиям других новых платформ, Pump мог позволить злоумышленнику использовать средства проекта для наполнения пула новых выпущенных токенов (скорее всего, собственных токенов), чтобы создать ажиотаж и привлечь внимание. Однако эта стратегия в конечном итоге обернулась угрозой безопасности.
Уроки и выводы
Для подобных проектов недостаточно просто копировать поверхностную модель. Необходимо учитывать, как обеспечить начальную мотивацию для привлечения пользователей.
Управление доступом и меры безопасности имеют решающее значение. Проектная команда должна более осторожно обращаться с правами доступа к ключевым учетным записям.
При выполнении подобных операций необходимо более тщательно учитывать потенциальные риски, чтобы избежать оставления уязвимостей для будущих атак.
Это событие еще раз напоминает нам, что в быстро развивающемся мире криптовалют безопасность всегда является первоочередным фактором. Проектные команды должны оставаться бдительными, стремясь к инновациям, и принимать комплексные меры безопасности для защиты интересов пользователей и платформы.
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
9 Лайков
Награда
9
2
Репост
Поделиться
комментарий
0/400
SchrodingerAirdrop
· 17ч назад
Без слов, снова внутренний предатель устроил проблемы.
Pump подвергся атаке бывших сотрудников, 2 миллиона долларов были украдены
Подробности о краже Pump
Недавно платформа Pump столкнулась с серьезным инцидентом кражи. После анализа профессионалов мы можем получить более глубокое понимание последовательности событий этого инцидента.
Процесс атаки
Атакующий не является выдающимся хакером, а, скорее всего, бывшим сотрудником Pump. Он получил доступ к ключевому кошельку, который отвечает за создание торговых пар новых токенов на определенной децентрализованной бирже. Мы называем этот кошелек "украденным кошельком". В то же время ликвидный пул новых токенов, которые еще не достигли стандартов листинга на Pump, называется "резервным кошельком".
Атакующий взял в займы большую сумму средств через кредитование под залог, чтобы заполнить все недостигнутые пулы токенов. В нормальных условиях, когда пул достигает стандарта, SOL из резервного счета должен быть переведен на украденный счет. Однако в этом процессе атакующий вывел переведенный SOL, что привело к тому, что эти токены не смогли быть размещены вовремя (поскольку пул уже пуст).
Анализ жертв
Анализ показывает, что основными жертвами являются те пользователи, которые приобрели токены в еще незаполненных пулах до атаки. Их SOL были украдены злоумышленниками. Это также объясняет, почему первоначально оцененные убытки могли достигать 80 миллионов долларов (последние данные показывают, что фактические убытки составляют около 2 миллионов долларов).
Следует отметить, что токены, которые уже были размещены, не должны пострадать от этой атаки, поскольку их ликвидность заблокирована. В то же время средства из flash-кредита были возвращены в том же блоке, поэтому кредитная платформа также не понесла убытков.
Предположение причин атаки
Этот инцидент выявил серьезные недостатки команды Pump в управлении правами. Мы можем предположить, что злоумышленник, возможно, отвечал за наполнение токенов в пуле. Подобно действиям других новых платформ, Pump мог позволить злоумышленнику использовать средства проекта для наполнения пула новых выпущенных токенов (скорее всего, собственных токенов), чтобы создать ажиотаж и привлечь внимание. Однако эта стратегия в конечном итоге обернулась угрозой безопасности.
Уроки и выводы
Для подобных проектов недостаточно просто копировать поверхностную модель. Необходимо учитывать, как обеспечить начальную мотивацию для привлечения пользователей.
Управление доступом и меры безопасности имеют решающее значение. Проектная команда должна более осторожно обращаться с правами доступа к ключевым учетным записям.
При выполнении подобных операций необходимо более тщательно учитывать потенциальные риски, чтобы избежать оставления уязвимостей для будущих атак.
Это событие еще раз напоминает нам, что в быстро развивающемся мире криптовалют безопасность всегда является первоочередным фактором. Проектные команды должны оставаться бдительными, стремясь к инновациям, и принимать комплексные меры безопасности для защиты интересов пользователей и платформы.