Analyse approfondie de l'incident de vol Pump

Récemment, la plateforme Pump a subi un grave incident de sécurité, suscitant une large attention dans le secteur des crypto-monnaies. Cet article analysera en détail le déroulement de l'événement et explorera les questions clés qui en découlent.

Analyse des techniques d'attaque

L'attaquant n'est pas un hacker avancé, mais il est très probablement un ancien employé de Pump. Il possède le compte de portefeuille clé utilisé pour créer des paires de trading de jetons sur un certain DEX, que nous appelons "compte attaqué". Les pools de jetons sur Pump qui n'ont pas encore atteint les normes de mise en ligne sont appelés "compte préparatoire".

L'attaquant a rempli tous les pools de jetons non conformes grâce à un prêt éclair. Normalement, lorsque le pool atteint les normes de cotation, le SOL dans le compte préparatoire est transféré au compte attaqué. Cependant, l'attaquant a volé le SOL transféré au cours de ce processus, ce qui a empêché ces monnaies mèmes d'être cotées à temps (car le fonds du pool était insuffisant).

Analyse des victimes

1. La plateforme de prêt flash n'a pas été affectée car le prêt a été remboursé dans le même bloc.
2. La liquidité des pools de tokens déjà listés peut ne pas être affectée.
3. Les principales victimes sont les utilisateurs qui ont acheté des jetons dans le pool incomplet avant l'attaque, dont leurs SOL ont été transférés. Cela explique également pourquoi les pertes sont estimées à plusieurs millions de dollars.

Raisons possibles pour lesquelles un attaquant obtient une clé privée

1. Il existe des vulnérabilités évidentes dans la gestion de la sécurité de l'équipe.
2. Supposer que le remplissage de la piscine de jetons pourrait être l'une des responsabilités antérieures de l'attaquant. Cela ressemble à la pratique de certains projets au début d'utiliser des robots officiels pour acheter et créer du buzz.

On peut supposer sans hésitation que Pump, pour réaliser un démarrage à froid, a peut-être laissé les attaquants se charger de remplir le pool de tokens émis de manière autonome avec des fonds de projet (comme $test, $alon, etc.), afin d'être listés et d'augmenter l'attention. Cependant, cela s'est finalement avéré être la clé de l'action d'un traître.

Leçons apprises

1. Pour les projets d'imitation, ne vous limitez pas à une imitation superficielle en pensant qu'un bon produit attirera des transactions. Les projets de type mutuel doivent fournir une dynamique initiale.

2. Renforcer la gestion des autorisations et accorder une grande importance aux problèmes de sécurité. La menace des employés internes est souvent sous-estimée, mais elle peut entraîner d'énormes pertes.

Cet incident met de nouveau en évidence l'importance de la gestion de la sécurité et du contrôle interne dans les projets de cryptomonnaie. Alors que l'industrie continue d'évoluer, la question de savoir comment trouver un équilibre entre innovation et sécurité sera un sujet de réflexion sérieux pour chaque équipe de projet.