تحليل حادثة سرقة Pump والدروس المستفادة

مؤخراً، تعرضت منصة Pump لحادث أمان خطير أدى إلى خسارة كبيرة في الأموال. ستتناول هذه المقالة تحليلًا عميقًا لهذا الحدث، وتستكشف الدروس المستفادة منه.

عملية الهجوم

المهاجم ليس هاكر متقدم، بل من المحتمل أن يكون موظفاً سابقاً في Pump. لقد حصل على محفظة الصلاحيات المستخدمة لإنشاء أزواج تداول توكنات الكلاب في بعض DEX، ونسميها "الحساب المستهدف". التوكنات التي تم إنشاؤها على Pump قبل الوصول إلى معايير الإدراج، جميع برك LP الخاصة بمنحنى الربط تُعرف باسم "الحساب الاحتياطي".

استخدم المهاجمون القرض السريع لملء جميع المسبحيات التي لم تصل إلى معايير الإطلاق. في الظروف العادية، سيتم تحويل SOL الموجودة في "الحساب الاحتياطي" إلى "الحساب المستهدف" لأنها تصل إلى المعايير. ومع ذلك، استغل المهاجمون الفرصة لسحب SOL التي تم تحويلها، مما أدى إلى عدم إطلاق هذه العملات الميمية التي كان من المفترض أن تُطلق في الوقت المحدد.

تحليل الضحايا

1. لم تتأثر منصة القروض السريعة، لأن القرض يتم سده في نفس الكتلة.
2. قد لا تتأثر رموز الكلاب الأرضية التي تم إطلاقها بالفعل على DEX لأن LP قد تم تأمينه.
3. الضحايا الرئيسيون هم المستخدمون الذين اشتروا الرموز في جميع المجمعات غير المملوءة على منصة Pump قبل حدوث الهجوم، وقد تم تحويل SOL الخاصة بهم.

مناقشة أسباب الهجوم

1. يوجد ثغرات خطيرة في إدارة الأذونات على المنصة.
2. يُحتمل أن يكون المهاجمون قد تولوا مسؤولية ملء برك الرموز. مثلما كانت بعض المنصات الاجتماعية تستخدم الروبوتات لشراء المفاتيح في مراحلها المبكرة لخلق ضجة، قد تجعل Pump المهاجمين مسؤولين عن استخدام أموال المشروع لملء برك الرموز التي يصدرونها (مثل $test، $alon، إلخ) لخلق الاهتمام.

الدروس المستفادة

1. بالنسبة للمقلدين، لا تركز فقط على الوظائف السطحية. مجرد نسخ مظهر المنتج ليس كافياً لجذب المستخدمين، بل يجب أيضًا توفير دافع أولي.

2. تعزيز إدارة الأذونات وزيادة الوعي الأمني. يعتبر توزيع وتقييد أذونات الموظفين بشكل معقول، وتحديث المفاتيح بانتظام، وإنشاء آلية توقيع متعددة، من التدابير الأمنية الضرورية.

3. إنشاء نظام داخلي متكامل للرقابة. يشمل إدارة الأفراد وإدارة الأموال وإدارة المفاتيح وغيرها من الجوانب، لمنع سوء استخدام الصلاحيات من قبل الأفراد الداخليين.

4. أهمية تدقيق الكود وبرامج مكافآت الثغرات. إجراء تدقيق أمني دوري، وتشجيع القراصنة الأخلاقيين على اكتشاف الثغرات والإبلاغ عنها.

5. زيادة وعي المستخدمين بالمخاطر. يجب على المنصة توصيل المخاطر المحتملة بوضوح للمستخدمين، وتشجيعهم على اتخاذ تدابير الأمان، مثل استخدام محافظ الأجهزة.

6. إنشاء آلية للاستجابة الطارئة. وضع خطة طوارئ مفصلة، بمجرد حدوث حادث أمني، يجب أن يكون هناك استجابة سريعة لتقليل الخسائر إلى الحد الأدنى.

هذه الحادثة تذكّر مرة أخرى بأن مشاريع Web3، أثناء تطورها السريع، لا يمكنها تجاهل المبادئ الأساسية للأمان. فقط من خلال إيجاد التوازن بين الابتكار والأمان يمكن دفع الصناعة نحو تطور صحي حقًا.