Analyse des événements de vol Pump et leçons à tirer

Récemment, la plateforme Pump a subi un grave incident de sécurité, entraînant d'importantes pertes financières. Cet article procédera à une analyse approfondie de cet événement et explorera les leçons à en tirer.

Processus d'attaque

L'attaquant n'est pas un hacker avancé, mais très probablement un ancien employé de Pump. Il a accès à un portefeuille d'autorisation utilisé pour créer des paires de trading de tokens de type "doge" sur un certain DEX, que nous appelons "compte cible". Les tokens de type "doge" créés sur Pump, avant d'atteindre les normes de mise en ligne, ont tous leur bassin LP de courbe de liaison appelé "compte préparatoire".

L'attaquant a emprunté des fonds via un prêt éclair, remplissant ainsi tous les pools qui n'atteignaient pas les critères de lancement. Normalement, à ce stade, les SOL dans le "compte préparatoire" seraient transférés au "compte cible" en raison de l'atteinte des critères. Cependant, l'attaquant en a profité pour retirer les SOL transférés, empêchant ainsi ces mèmes censés être lancés de le faire comme prévu.

Analyse des victimes

1. La plateforme de prêt flash n'a pas été affectée, car le prêt est remboursé dans le même bloc.
2. Les tokens de Doge de terre qui ont déjà été lancés sur DEX peuvent ne pas être affectés car les LP sont déjà verrouillés.
3. Les principales victimes sont les utilisateurs qui ont acheté des tokens dans tous les pools non remplis sur la plateforme Pump avant que l'attaque ne se produise, leurs SOL ont été transférés.

Discussion des raisons de l'attaque

1. Il existe de graves vulnérabilités de gestion des autorisations sur la plateforme.
2. On suppose que l'attaquant pourrait avoir été responsable de remplir les pools de tokens. Semblable à la façon dont certaines plateformes sociales utilisaient des robots pour acheter des clés au début afin de créer du buzz, Pump pourrait permettre à l'attaquant de remplir son propre pool de tokens émis (comme $test, $alon, etc.) avec des fonds de projet pour créer de l'attention.

Leçons apprises

1. Pour les imitateurs, ne vous concentrez pas seulement sur les fonctionnalités superficielles. Se contenter de copier l'apparence du produit ne suffit pas à attirer les utilisateurs, il faut également fournir un élan initial.

2. Renforcer la gestion des droits et améliorer la sensibilisation à la sécurité. Une répartition et une restriction raisonnables des droits des employés, la mise à jour régulière des clés et l'établissement d'un mécanisme de signature multiple sont toutes des mesures de sécurité nécessaires.

3. Établir un système de contrôle interne complet. Cela inclut la gestion des ressources humaines, la gestion des fonds, la gestion des clés, etc., afin d'empêcher les employés internes d'abuser de leurs pouvoirs.

4. Accorder de l'importance aux audits de code et aux programmes de récompense pour les vulnérabilités. Effectuer régulièrement des audits de sécurité et encourager les hackers éthiques à découvrir et à signaler les vulnérabilités.

5. Sensibiliser les utilisateurs aux risques. La plateforme doit communiquer clairement aux utilisateurs les risques potentiels et les encourager à prendre des mesures de sécurité, comme l'utilisation de portefeuilles matériels.

6. Établir un mécanisme de réponse d'urgence. Élaborer un plan d'urgence détaillé afin de pouvoir réagir rapidement en cas d'accident de sécurité et de minimiser les pertes au maximum.

Cet événement rappelle une fois de plus aux projets Web3 qu'ils ne doivent pas ignorer les principes de sécurité fondamentaux tout en se développant rapidement. Ce n'est qu'en trouvant un équilibre entre innovation et sécurité que l'on pourra véritablement promouvoir le développement sain de l'industrie.