Análisis y lecciones del incidente de robo de Pump

Recientemente, la plataforma Pump sufrió un grave incidente de seguridad que resultó en una gran pérdida de fondos. Este artículo realizará un análisis en profundidad de este evento y explorará las lecciones aprendidas.

Proceso de ataque

El atacante no es un hacker avanzado, sino que probablemente es un ex empleado de Pump. Tiene acceso a la billetera de permisos utilizada para crear pares de intercambio de tokens de perro de tierra en algún DEX, a la que llamamos "cuenta objetivo". Los tokens de perro de tierra creados en Pump, antes de alcanzar los estándares de lanzamiento, tienen su fondo de LP de Curva de Vinculación llamado "cuenta de reserva".

Los atacantes utilizaron un préstamo relámpago para llenar todos los grupos que no alcanzaban los estándares de listado. Normalmente, en este momento, el SOL en la "cuenta de preparación" se transferiría a la "cuenta objetivo" al alcanzar los estándares. Sin embargo, los atacantes aprovecharon la oportunidad para retirar el SOL transferido, lo que impidió que estas monedas meme, que debían ser listadas, se lanzaran a tiempo.

Análisis de víctimas

1. La plataforma de préstamos relámpago no se vio afectada, ya que el préstamo se devuelve en el mismo bloque.
2. Los tokens de perro de tierra que ya están en línea en el DEX pueden no verse afectados debido a que el LP ya está bloqueado.
3. Los principales afectados son los usuarios que compraron tokens en todos los grupos no llenos en la plataforma Pump antes de que ocurriera el ataque, cuyos SOL fueron transferidos.

Discusión sobre las razones del ataque

1. Existe una grave vulnerabilidad de gestión de permisos en la plataforma.
2. Se especula que el atacante podría haber sido responsable de llenar los fondos de tokens. Al igual que algunas plataformas sociales en sus inicios usaban bots para comprar claves y generar expectación, Pump podría haber permitido que el atacante usara los fondos del proyecto para llenar su propio fondo de tokens emitidos (como $test, $alon, etc.) y así generar atención.

Lecciones aprendidas

1. Para los imitadores, no te limites a enfocarte en las funciones superficiales. Simplemente copiar la apariencia del producto no es suficiente para atraer a los usuarios, también necesitas ofrecer un impulso inicial.

2. Fortalecer la gestión de permisos y aumentar la conciencia de seguridad. La asignación y restricción razonable de permisos a los empleados, la actualización periódica de claves y el establecimiento de mecanismos de firma múltiple son medidas de seguridad necesarias.

3. Establecer un sistema de control interno completo. Incluye la gestión del personal, la gestión de fondos, la gestión de claves y otros aspectos, para prevenir el abuso de privilegios por parte del personal interno.

4. Valorar las auditorías de código y los programas de recompensas por vulnerabilidades. Realizar auditorías de seguridad de manera regular, alentando a los hackers éticos a descubrir y reportar vulnerabilidades.

5. Aumentar la conciencia de riesgo de los usuarios. La plataforma debe comunicar claramente los riesgos potenciales a los usuarios y alentarlos a tomar medidas de seguridad, como usar carteras de hardware.

6. Establecer un mecanismo de respuesta de emergencia. Elaborar un plan de emergencia detallado que permita reaccionar rápidamente en caso de un incidente de seguridad, minimizando al máximo las pérdidas.

Este evento ha vuelto a advertir que los proyectos de Web3, al desarrollarse rápidamente, no pueden ignorar los principios básicos de seguridad. Solo al encontrar un equilibrio entre la innovación y la seguridad se puede promover verdaderamente el desarrollo saludable de la industria.