Платформа PumpТокен подверглась атаке со стороны бывшего сотрудника, что привело к утечке внутренних управленческих данных и потере средств пользователей.
На днях платформа Pump столкнулась с серьезным инцидентом безопасности, который привел к значительным потерям средств. В данной статье будет проведен глубокий анализ этого события и рассмотрены извлеченные уроки.
Процесс атаки
Атакующий, вероятно, не является высококлассным хакером, а, скорее всего, бывшим сотрудником Pump. Он получил доступ к кошельку с полномочиями для создания торговых пар с токенами土狗 на некотором DEX, который мы называем "целевой аккаунт". Токены土狗, созданные на Pump, до достижения стандартов для выхода на рынок, все их пулы Bonding Curve LP называются "резервный аккаунт".
Атакующий, воспользовавшись кредитом на основе Flash Loan, заполнил все пулы, не достигшие стандартов выхода. В нормальных условиях, в этот момент SOL из "резервного счета" переводится на "целевой счет" в связи с достижением стандартов. Однако, атаковавший воспользовался моментом и вывел SOL, которые должны были быть переведены, что привело к тому, что эти мемкоины, которые должны были выйти, не смогли выйти в срок.
Анализ жертв
Платформа мгновенных кредитов не пострадала, так как кредит возвращается в том же блоке.
Токены土狗, уже запущенные на DEX, могут не подвергаться влиянию, так как LP заблокирован.
Основными жертвами стали пользователи, которые купили токены во всех незаполненных пулах на платформе Pump до начала атаки, их SOL были украдены.
Обсуждение причин атаки
На платформе существуют серьезные уязвимости в управлении правами.
Предполагается, что злоумышленник мог быть ответственен за заполнение пула токенов. Похожим образом, как некоторые социальные платформы в начале использовали ботов для покупки ключей, чтобы создать ажиотаж, Pump мог позволить злоумышленнику использовать средства проекта для заполнения пула токенов, которые он выпустил (например, $test, $alon и т.д.), чтобы привлечь внимание.
Уроки и выводы
Для подражателей не следует фокусироваться только на поверхностных функциях. Простое копирование внешнего вида продукта недостаточно для привлечения пользователей, также необходимо предоставить начальный импульс.
Укрепите управление правами, повысите осведомленность о безопасности. Разумное распределение и ограничение прав сотрудников, регулярное обновление ключей, создание механизма мультиподписей и т.д. являются необходимыми мерами безопасности.
Создание完善ной внутренней системы контроля. Включает управление персоналом, управление финансами, управление ключами и другие аспекты, чтобы предотвратить злоупотребление полномочиями внутренними сотрудниками.
Обратите внимание на аудит кода и программы по вознаграждению за уязвимости. Проводите регулярные проверки безопасности и поощряйте белых хакеров выявлять и сообщать о уязвимостях.
Повышение осведомленности пользователей о рисках. Платформа должна четко донести до пользователей потенциальные риски и поощрять их принимать меры безопасности, такие как использование аппаратных кошельков.
Создание механизма реагирования на чрезвычайные ситуации. Разработка подробного плана действий в чрезвычайных ситуациях, который позволит быстро реагировать в случае возникновения инцидента безопасности и максимально сократить потери.
Этот инцидент ещё раз напомнил о том, что проекты Web3, стремительно развиваясь, не должны игнорировать основные принципы безопасности. Только найдя баланс между инновациями и безопасностью, можно действительно способствовать здоровому развитию отрасли.
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
Платформа PumpТокен подверглась атаке со стороны бывшего сотрудника, что привело к утечке внутренних управленческих данных и потере средств пользователей.
Анализ и уроки инцидента с кражей Pump
На днях платформа Pump столкнулась с серьезным инцидентом безопасности, который привел к значительным потерям средств. В данной статье будет проведен глубокий анализ этого события и рассмотрены извлеченные уроки.
Процесс атаки
Атакующий, вероятно, не является высококлассным хакером, а, скорее всего, бывшим сотрудником Pump. Он получил доступ к кошельку с полномочиями для создания торговых пар с токенами土狗 на некотором DEX, который мы называем "целевой аккаунт". Токены土狗, созданные на Pump, до достижения стандартов для выхода на рынок, все их пулы Bonding Curve LP называются "резервный аккаунт".
Атакующий, воспользовавшись кредитом на основе Flash Loan, заполнил все пулы, не достигшие стандартов выхода. В нормальных условиях, в этот момент SOL из "резервного счета" переводится на "целевой счет" в связи с достижением стандартов. Однако, атаковавший воспользовался моментом и вывел SOL, которые должны были быть переведены, что привело к тому, что эти мемкоины, которые должны были выйти, не смогли выйти в срок.
Анализ жертв
Обсуждение причин атаки
Уроки и выводы
Для подражателей не следует фокусироваться только на поверхностных функциях. Простое копирование внешнего вида продукта недостаточно для привлечения пользователей, также необходимо предоставить начальный импульс.
Укрепите управление правами, повысите осведомленность о безопасности. Разумное распределение и ограничение прав сотрудников, регулярное обновление ключей, создание механизма мультиподписей и т.д. являются необходимыми мерами безопасности.
Создание完善ной внутренней системы контроля. Включает управление персоналом, управление финансами, управление ключами и другие аспекты, чтобы предотвратить злоупотребление полномочиями внутренними сотрудниками.
Обратите внимание на аудит кода и программы по вознаграждению за уязвимости. Проводите регулярные проверки безопасности и поощряйте белых хакеров выявлять и сообщать о уязвимостях.
Повышение осведомленности пользователей о рисках. Платформа должна четко донести до пользователей потенциальные риски и поощрять их принимать меры безопасности, такие как использование аппаратных кошельков.
Создание механизма реагирования на чрезвычайные ситуации. Разработка подробного плана действий в чрезвычайных ситуациях, который позволит быстро реагировать в случае возникновения инцидента безопасности и максимально сократить потери.
Этот инцидент ещё раз напомнил о том, что проекты Web3, стремительно развиваясь, не должны игнорировать основные принципы безопасности. Только найдя баланс между инновациями и безопасностью, можно действительно способствовать здоровому развитию отрасли.