Análise e Lições do Incidente de Roubo do Pump

Recentemente, a plataforma Pump sofreu um grave acidente de segurança, resultando em perdas financeiras significativas. Este artigo irá analisar profundamente este evento e discutir as lições aprendidas.

Processo de Ataque

O atacante não é um hacker avançado, mas muito possivelmente um ex-funcionário da Pump. Ele tem acesso à carteira de permissões usada para criar pares de negociação de tokens de cachorro na DEX, que chamamos de "conta alvo". Os tokens de cachorro criados na Pump, antes de atingirem os padrões de lançamento, têm todos os seus fundos de Bonding Curve LP chamados de "conta de preparação".

Os atacantes usaram empréstimos relâmpago para preencher todos os pools que não atingiram os padrões de listagem. Normalmente, neste momento, o SOL na "conta de preparação" seria transferido para a "conta alvo" devido ao cumprimento dos padrões. No entanto, os atacantes aproveitaram a oportunidade para retirar o SOL transferido, fazendo com que essas moedas meme que deveriam ser listadas não conseguissem ser listadas a tempo.

Análise de Vítimas

1. A plataforma de empréstimos relâmpago não foi afetada, pois o empréstimo é devolvido no mesmo bloco.
2. Os tokens de Doge na DEX que já foram lançados podem não ser afetados, pois o LP está bloqueado.
3. As principais vítimas são os usuários que compraram tokens em todos os pools não preenchidos na plataforma Pump antes do ataque, cujos SOL foram transferidos.

Discussão sobre as razões do ataque

1. Existem graves vulnerabilidades de gestão de permissões na plataforma.
2. Sugere-se que o atacante pode ter sido responsável por encher os fundos de tokens. Semelhante a algumas plataformas sociais que, no início, usaram robôs para comprar Keys e criar agitação, o Pump pode ter levado o atacante a usar fundos do projeto para encher os fundos dos tokens que emitiu (como $test, $alon, etc.), a fim de gerar atenção.

Lições Aprendidas

1. Para os imitadores, não se concentre apenas nas funcionalidades superficiais. Copiar apenas a aparência do produto não é suficiente para atrair os usuários, é necessário também oferecer um impulso inicial.

2. Reforçar a gestão de permissões e aumentar a consciência de segurança. Atribuir e limitar adequadamente as permissões dos funcionários, atualizar as chaves regularmente e estabelecer um mecanismo de assinatura múltipla são todas medidas de segurança necessárias.

3. Estabelecer um sistema de controle interno completo. Inclui gestão de pessoal, gestão de fundos, gestão de chaves e outros aspectos, para prevenir o abuso de permissões por parte de funcionários internos.

4. Valorizar auditorias de código e programas de recompensas por vulnerabilidades. Realizar auditorias de segurança regularmente e incentivar hackers éticos a descobrir e relatar vulnerabilidades.

5. Aumentar a consciência dos usuários sobre os riscos. A plataforma deve comunicar claramente os riscos potenciais aos usuários, incentivando-os a adotar medidas de segurança, como o uso de carteiras de hardware.

6. Estabelecer um mecanismo de resposta a emergências. Elaborar um plano de emergência detalhado, que permita uma rápida reação em caso de acidente de segurança, minimizando ao máximo as perdas.

Este incidente alerta novamente para o fato de que os projetos Web3, enquanto se desenvolvem rapidamente, não podem ignorar os princípios básicos de segurança. Apenas encontrando um equilíbrio entre inovação e segurança é que podemos realmente impulsionar o desenvolvimento saudável da indústria.