Recentemente, a plataforma Pump enfrentou um grave incidente de segurança, gerando ampla atenção no círculo das criptomoedas. Este artigo irá analisar detalhadamente o desenrolar do evento e discutir as questões-chave envolvidas.
Análise de Métodos de Ataque
O atacante não é um hacker avançado, mas provavelmente um ex-funcionário da Pump. Ele possui a chave da conta de carteira usada para criar pares de negociação de tokens em um DEX, a qual chamamos de "conta atacada". Os pools de tokens que ainda não atingiram os padrões de listagem na Pump são chamados de "contas de preparação".
Os atacantes preencheram todos os pools de tokens não conformes através de empréstimos relâmpago. Normalmente, quando o pool atinge os padrões de listagem, o SOL na conta preparatória é transferido para a conta atacada. No entanto, os atacantes roubaram o SOL transferido durante este processo, resultando na incapacidade de listar essas moedas meme a tempo (devido à falta de fundos no pool).
Análise da parte lesada
A plataforma de empréstimos relâmpago não foi afetada, pois o empréstimo foi devolvido na mesma bloco.
A liquidez dos pools de tokens já listados pode não ter sido afetada.
Os principais vítimas são os usuários que compraram tokens em um pool não cheio antes do ataque, cujos SOL foram transferidos. Isso também explica por que a perda é estimada em até dezenas de milhões de dólares.
Possíveis razões pelas quais o atacante obtém a chave privada
Existem lacunas evidentes na gestão de segurança da equipe.
Supõe-se que o preenchimento da piscina de tokens pode ter sido uma das responsabilidades anteriores do atacante. Semelhante à prática de alguns projetos no início de usar robôs oficiais para compras em massa para criar hype.
Pode-se especular que, para realizar um arranque a frio, o Pump pode ter confiado a um atacante a responsabilidade de preencher o pool de tokens emitidos autonomamente com fundos do projeto (como $test, $alon, etc.), a fim de serem listados e aumentar a atenção. No entanto, isso acabou por se tornar a chave para uma ação de traidor.
Lições Aprendidas
Para projetos de imitação, não se deve ficar apenas na imitação superficial, achando que ter um bom produto atrairá transações. Projetos de ajuda mútua precisam oferecer um impulso inicial.
Reforçar a gestão de permissões, prestando especial atenção às questões de segurança. As ameaças internas são frequentemente subestimadas, mas podem causar grandes perdas.
Este evento destaca novamente a importância da gestão de segurança e do controle interno nos projetos de criptomoeda. À medida que a indústria continua a evoluir, encontrar um equilíbrio entre inovação e segurança será uma questão que cada equipe de projeto precisará considerar seriamente.
Esta página pode conter conteúdo de terceiros, que é fornecido apenas para fins informativos (não para representações/garantias) e não deve ser considerada como um endosso de suas opiniões pela Gate nem como aconselhamento financeiro ou profissional. Consulte a Isenção de responsabilidade para obter detalhes.
11 Curtidas
Recompensa
11
9
Compartilhar
Comentário
0/400
OnchainHolmes
· 07-12 05:54
Os funcionários que saem da empresa são realmente impressionantes, com grandes gestos.
Ver originalResponder0
NullWhisperer
· 07-11 19:19
tecnicamente falando... outro ex-desenvolvedor que se tornou rebelde. não exatamente coisas de alto QI aqui
Ver originalResponder0
UnluckyMiner
· 07-09 06:30
Dia a dia, a negociação de criptomoedas é fazer as pessoas de parvas, tristes mineradores.
Pump plataforma遭内部攻击 数千万美元资金被盗
Análise Profundidade do Incidente de Roubo Pump
Recentemente, a plataforma Pump enfrentou um grave incidente de segurança, gerando ampla atenção no círculo das criptomoedas. Este artigo irá analisar detalhadamente o desenrolar do evento e discutir as questões-chave envolvidas.
Análise de Métodos de Ataque
O atacante não é um hacker avançado, mas provavelmente um ex-funcionário da Pump. Ele possui a chave da conta de carteira usada para criar pares de negociação de tokens em um DEX, a qual chamamos de "conta atacada". Os pools de tokens que ainda não atingiram os padrões de listagem na Pump são chamados de "contas de preparação".
Os atacantes preencheram todos os pools de tokens não conformes através de empréstimos relâmpago. Normalmente, quando o pool atinge os padrões de listagem, o SOL na conta preparatória é transferido para a conta atacada. No entanto, os atacantes roubaram o SOL transferido durante este processo, resultando na incapacidade de listar essas moedas meme a tempo (devido à falta de fundos no pool).
Análise da parte lesada
Possíveis razões pelas quais o atacante obtém a chave privada
Pode-se especular que, para realizar um arranque a frio, o Pump pode ter confiado a um atacante a responsabilidade de preencher o pool de tokens emitidos autonomamente com fundos do projeto (como $test, $alon, etc.), a fim de serem listados e aumentar a atenção. No entanto, isso acabou por se tornar a chave para uma ação de traidor.
Lições Aprendidas
Para projetos de imitação, não se deve ficar apenas na imitação superficial, achando que ter um bom produto atrairá transações. Projetos de ajuda mútua precisam oferecer um impulso inicial.
Reforçar a gestão de permissões, prestando especial atenção às questões de segurança. As ameaças internas são frequentemente subestimadas, mas podem causar grandes perdas.
Este evento destaca novamente a importância da gestão de segurança e do controle interno nos projetos de criptomoeda. À medida que a indústria continua a evoluir, encontrar um equilíbrio entre inovação e segurança será uma questão que cada equipe de projeto precisará considerar seriamente.