Pump Hırsızlık Olayı Derinlik Analizi

Son günlerde, Pump platformu önemli bir güvenlik kazasıyla karşılaştı ve bu durum kripto para camiasında geniş bir ilgi uyandırdı. Bu yazıda, olayın başlangıcını ve gelişimini detaylı bir şekilde analiz edecek ve içindeki temel sorunları tartışacağız.

Saldırı Tekniklerinin Analizi

Saldırgan, yüksek düzeyde bir hacker değil, muhtemelen Pump'ın eski bir çalışanıdır. Belirli bir DEX'te token ticaret çiftleri oluşturmak için gerekli anahtar cüzdan hesaplarına hakimdir, bu hesaplara "saldırı hesabı" diyoruz. Pump'ta henüz listeleme standartlarına ulaşmamış token havuzları ise "hazırlık hesapları" olarak adlandırılmaktadır.

Saldırgan, flash loan aracılığıyla tüm standartları karşılamayan token havuzlarını doldurdu. Normalde, havuz listeleme standartlarına ulaştığında, hazırlık hesabındaki SOL, saldırıya uğrayan hesaba aktarılır. Ancak, saldırgan bu süreçte aktarılan SOL'yi çaldı ve bu nedenle bu meme coin'ler zamanında listelenemedi (çünkü havuzda yeterli fon yoktu).

Mağdur Taraf Analizi

1. Hızlı kredi platformu etkilenmedi çünkü kredi aynı blok içinde geri ödendi.
2. Zaten listelenmiş tokenlerin likidite havuzları etkilenmemiş olabilir.
3. Ana mağdurlar, saldırı gerçekleşmeden önce, havuzda yeterince olmayan tokenler arasında satın alan kullanıcılardır, onların SOL'leri transfer edildi. Bu da kaybın neden milyonlarca dolara kadar tahmin edildiğini açıklıyor.

Saldırganın özel anahtarı elde etmesinin olası nedenleri

1. Ekip güvenlik yönetiminde belirgin açıklar bulunmaktadır.
2. Tahminlere göre, token havuzunu doldurmak saldırganın önceki görevlerinden biri olabilir. Bazı projelerin başlangıcında resmi botları kullanarak talep oluşturma uygulamasına benzer.

Cesurca tahmin edilebilir ki, Pump'ın soğuk başlangıç gerçekleştirmek için, belki de saldırganların proje fonlarıyla kendi çıkardıkları token havuzlarını (örneğin $test, $alon vb.) doldurmalarına izin vermiştir, böylece listelenip ilgi çekebilirlerdi. Fakat bu, nihayetinde içerden bir eylemin anahtarı haline geldi.

Deneyimler ve Dersler

1. Taklit projeleri için, sadece yüzeysel taklit yapmakla kalmayın, iyi bir ürün yapmanın ticaret çekmek için yeterli olduğunu düşünmeyin. Karşılıklı yardım projeleri başlangıçta bir motivasyon sağlamalıdır.

2. Yetki yönetimini güçlendirin, güvenlik sorunlarına yüksek önem verin. İç personelin tehditleri genellikle hafife alınır, ancak büyük kayıplara neden olabilir.

Bu olay, kripto para projelerinin güvenlik yönetimi ve iç kontrol konusundaki önemini bir kez daha vurgulamaktadır. Sektör sürekli gelişirken, yenilik ile güvenlik arasında nasıl bir denge sağlanacağı, her proje ekibinin ciddi şekilde düşünmesi gereken bir konu olacaktır.