Analisis dan Pelajaran dari Insiden Pencurian Pump

Baru-baru ini, platform Pump mengalami kecelakaan keamanan yang serius, yang mengakibatkan kerugian dana yang besar. Artikel ini akan menganalisis kejadian ini secara mendalam dan membahas pengalaman serta pelajaran yang dapat diambil.

Proses Serangan

Penyerang bukanlah hacker tingkat tinggi, melainkan kemungkinan besar adalah mantan karyawan Pump. Dia memiliki dompet akses untuk membuat pasangan perdagangan token anjing tanah di DEX tertentu, yang kami sebut sebagai "akun target". Token anjing tanah yang dibuat di Pump sebelum memenuhi standar peluncuran, semua kolam LP Bonding Curve mereka disebut sebagai "akun cadangan".

Penyerang meminjam melalui pinjaman kilat, mengisi semua kolam yang tidak memenuhi standar peluncuran. Dalam keadaan normal, SOL di "akun persiapan" akan dipindahkan ke "akun target" karena telah memenuhi standar. Namun, penyerang mengambil kesempatan untuk menarik SOL yang dipindahkan, menyebabkan koin meme yang seharusnya diluncurkan tidak bisa diluncurkan sesuai jadwal.

Analisis Korban

1. Platform pinjaman kilat tidak terpengaruh, karena pinjaman dilunasi dalam blok yang sama.
2. Token doge tanah yang sudah diluncurkan di DEX mungkin tidak terpengaruh karena LP telah dikunci.
3. Korban utama adalah pengguna yang membeli token di semua kolam yang belum terisi di platform Pump sebelum serangan terjadi, SOL mereka telah dipindahkan.

Diskusi Alasan Serangan

1. Terdapat celah manajemen izin yang serius di platform.
2. Diduga bahwa penyerang mungkin bertanggung jawab untuk mengisi kolam token. Mirip dengan beberapa platform sosial yang awalnya menggunakan bot untuk membeli Kunci untuk menciptakan ketertarikan, Pump mungkin membuat penyerang bertanggung jawab untuk mengisi kolam token yang mereka terbitkan (seperti $test, $alon, dll.) dengan dana proyek untuk menarik perhatian.

Pelajaran dan Pengalaman

1. Untuk para peniru, jangan hanya fokus pada fungsi permukaan. Hanya menyalin penampilan produk tidak cukup untuk menarik pengguna, tetapi juga perlu menyediakan dorongan awal.

2. Perkuat manajemen hak akses dan tingkatkan kesadaran keamanan. Distribusi dan pembatasan hak akses karyawan secara wajar, pembaruan kunci secara berkala, serta pembentukan mekanisme tanda tangan ganda adalah langkah-langkah keamanan yang diperlukan.

3. Membangun sistem pengendalian internal yang lengkap. Termasuk manajemen personel, manajemen dana, manajemen kunci, dan berbagai aspek lainnya, untuk mencegah penyalahgunaan wewenang oleh personel internal.

4. Mengutamakan audit kode dan program bounty kerentanan. Melakukan audit keamanan secara berkala, mendorong hacker topi putih untuk menemukan dan melaporkan kerentanan.

5. Meningkatkan kesadaran risiko pengguna. Platform harus dengan jelas menyampaikan risiko potensial kepada pengguna, mendorong pengguna untuk mengambil langkah-langkah keamanan, seperti menggunakan dompet perangkat keras.

6. Membangun mekanisme respons darurat. Menyusun rencana darurat yang rinci, agar dapat merespons dengan cepat jika terjadi kecelakaan keamanan, dan meminimalkan kerugian sebanyak mungkin.

Peristiwa ini kembali mengingatkan proyek Web3 bahwa dalam perkembangan yang cepat, mereka tidak boleh mengabaikan prinsip keamanan dasar. Hanya dengan menemukan keseimbangan antara inovasi dan keamanan, industri dapat benar-benar berkembang dengan sehat.