Нещодавно платформа Pump зазнала серйозного інциденту безпеки, внаслідок якого були вкрадені значні кошти користувачів. У цій статті буде проведено детальний аналіз цього інциденту.
Процес атаки
Цей напад, ймовірно, не був здійснений висококласними хакерами, а, скоріше, колишнім працівником платформи. Зловмисник отримав доступ до ключових прав гаманця, необхідних для створення торгових пар на певному DEX. Він використав флеш-кредит, щоб заповнити всі токен-пули, які не відповідали стандартам запуску. У нормальних умовах токени SOL з цих пулів повинні були бути переведені на певний рахунок, але зловмисник вивів ці кошти, що призвело до того, що ці токени не змогли бути запущені в торги в запланований час.
Аналіз жертв
Основними жертвами даної події є ті користувачі, які перед атакою вже придбали токени в токен-пулі, що ще не був повністю зібраний. Їхні інвестиції в SOL були викрадені нападниками. За останніми даними, сума збитків становить близько 2 мільйонів доларів. Варто зазначити, що токен-пули, які вже вийшли на торги на DEX, завдяки заблокованій ліквідності, не повинні постраждати від цієї атаки.
Дослідження причин атаки
Ця подія виявила серйозні вразливості платформи в управлінні правами. Існує припущення, що зловмисник, можливо, відповідав за управління ліквідністю платформи на ранніх етапах. На початку роботи платформи, щоб швидко запуститися та залучити користувачів, можливо, було надано цьому співробітнику повноваження використовувати кошти проекту для заповнення пулу токенів, з метою створення торгового ажіотажу. Однак, цей підхід в кінцевому підсумку став загрозою безпеці.
Одкровення та уроки
Управління правами доступу є надзвичайно важливим: команда проекту повинна суворо контролювати доступ до ключових облікових записів, регулярно переглядати та оновлювати налаштування прав доступу.
Початкова ліквідність стратегія повинна бути обережною: хоча надання початкової ліквідності новим проектам є звичайною практикою, необхідно встановити суворий контроль, щоб уникнути зловживань.
Безпековий аудит є невід'ємною частиною: Регулярно проводьте всебічний безпековий аудит, щоб своєчасно виявляти та усувати потенційні вразливості.
Прозорість та комунікація: у разі виникнення інциденту безпеки, своєчасно та прозоро спілкуватися з користувачами та вживати заходів для виправлення.
Механізм багатопідпису: введення вимог до багатопідпису для ключових операцій, що збільшує складність атак.
Ця подія ще раз нагадує нам, що в швидко розвивається сфері криптовалют безпека завжди є пріоритетом. Проектам необхідно знайти баланс між прагненням до інновацій та забезпеченням безпеки, щоб завоювати довгострокову довіру користувачів.
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
21 лайків
Нагородити
21
10
Поділіться
Прокоментувати
0/400
GasFeeAssassin
· 07-30 06:09
Знову зрадник розірвав каструлю
Переглянути оригіналвідповісти на0
GweiObserver
· 07-28 20:36
Ще один проект зруйновано!
Переглянути оригіналвідповісти на0
FloorSweeper
· 07-28 11:18
просто ще одна афера при виході лол... слабкі сигнали скрізь
Переглянути оригіналвідповісти на0
Rugman_Walking
· 07-28 08:25
Проект провалився, і ще доводиться платити, тю-тю.
Переглянути оригіналвідповісти на0
ForeverLoveTheSea
· 07-27 09:24
Я маю цю технологію, зроблю одну справу і ляжу відпочивати, чорт побери.
Переглянути оригіналвідповісти на0
notSatoshi1971
· 07-27 07:06
Хто буде наступною маленькою рибкою, поки ми спостерігаємо за подіями?
Pump зазнав нападу від колишніх працівників, вкрадено активи на 2 мільйони доларів
Детальний опис інциденту з крадіжкою Pump
Нещодавно платформа Pump зазнала серйозного інциденту безпеки, внаслідок якого були вкрадені значні кошти користувачів. У цій статті буде проведено детальний аналіз цього інциденту.
Процес атаки
Цей напад, ймовірно, не був здійснений висококласними хакерами, а, скоріше, колишнім працівником платформи. Зловмисник отримав доступ до ключових прав гаманця, необхідних для створення торгових пар на певному DEX. Він використав флеш-кредит, щоб заповнити всі токен-пули, які не відповідали стандартам запуску. У нормальних умовах токени SOL з цих пулів повинні були бути переведені на певний рахунок, але зловмисник вивів ці кошти, що призвело до того, що ці токени не змогли бути запущені в торги в запланований час.
Аналіз жертв
Основними жертвами даної події є ті користувачі, які перед атакою вже придбали токени в токен-пулі, що ще не був повністю зібраний. Їхні інвестиції в SOL були викрадені нападниками. За останніми даними, сума збитків становить близько 2 мільйонів доларів. Варто зазначити, що токен-пули, які вже вийшли на торги на DEX, завдяки заблокованій ліквідності, не повинні постраждати від цієї атаки.
Дослідження причин атаки
Ця подія виявила серйозні вразливості платформи в управлінні правами. Існує припущення, що зловмисник, можливо, відповідав за управління ліквідністю платформи на ранніх етапах. На початку роботи платформи, щоб швидко запуститися та залучити користувачів, можливо, було надано цьому співробітнику повноваження використовувати кошти проекту для заповнення пулу токенів, з метою створення торгового ажіотажу. Однак, цей підхід в кінцевому підсумку став загрозою безпеці.
Одкровення та уроки
Управління правами доступу є надзвичайно важливим: команда проекту повинна суворо контролювати доступ до ключових облікових записів, регулярно переглядати та оновлювати налаштування прав доступу.
Початкова ліквідність стратегія повинна бути обережною: хоча надання початкової ліквідності новим проектам є звичайною практикою, необхідно встановити суворий контроль, щоб уникнути зловживань.
Безпековий аудит є невід'ємною частиною: Регулярно проводьте всебічний безпековий аудит, щоб своєчасно виявляти та усувати потенційні вразливості.
Прозорість та комунікація: у разі виникнення інциденту безпеки, своєчасно та прозоро спілкуватися з користувачами та вживати заходів для виправлення.
Механізм багатопідпису: введення вимог до багатопідпису для ключових операцій, що збільшує складність атак.
Ця подія ще раз нагадує нам, що в швидко розвивається сфері криптовалют безпека завжди є пріоритетом. Проектам необхідно знайти баланс між прагненням до інновацій та забезпеченням безпеки, щоб завоювати довгострокову довіру користувачів.