Pump Hırsızlık Olayı Analizi ve Dersler

Son günlerde, Pump platformu ciddi bir güvenlik kazası yaşadı ve bu da büyük miktarda para kaybına yol açtı. Bu makalede, bu olaya derinlemesine bir analiz yapılacak ve içindeki deneyim dersleri tartışılacaktır.

Saldırı Süreci

Saldırgan, yüksek seviyede bir hacker değil, muhtemelen Pump'ın eski bir çalışanıdır. Bir DEX'te toprak köpeği tokeni ticaret çiftleri oluşturmak için gereken yetki cüzdanına sahip, buna "hedef hesap" diyoruz. Pump'ta oluşturulan toprak köpeği tokenleri, çevrimiçi olma standartlarına ulaşmadan önce, tüm Bonding Curve LP havuzları "hazırlık hesabı" olarak adlandırılır.

Saldırganlar, flash loan aracılığıyla borç alarak, tüm standartlara ulaşmayan havuzları doldurdular. Normalde, bu durumda "hazırlık hesabı"ndaki SOL, standartlara ulaştığı için "hedef hesaba" aktarılacaktır. Ancak, saldırganlar bu fırsatı değerlendirip aktarılan SOL'u çekerek, bu noktada piyasaya sürülmesi gereken meme coin'lerin zamanında piyasaya sürülememesine neden oldular.

Mağdur Analizi

1. Hızlı kredi platformu etkilenmedi çünkü krediler aynı blok içinde geri ödendi.
2. DEX'te listelenmiş olan toprak köpek tokenleri, LP'leri kilitli olduğu için muhtemelen etkilenmeyecektir.
3. Ana mağdurlar, saldırı gerçekleşmeden önce Pump platformunda tüm dolmamış havuzlardan token satın alan kullanıcılardır; onların SOL'leri çalındı.

Saldırı Nedeninin Araştırılması

1. Platformda ciddi bir yetki yönetim açığı bulunmaktadır.
2. Saldırganın muhtemelen token havuzunu doldurmaktan sorumlu olduğunu tahmin ediyoruz. Bazı sosyal platformların başlarda robotları kullanarak Key satın alarak bir heyecan yaratması gibi, Pump saldırgana proje fonlarını kendi çıkardığı token havuzunu (örneğin $test, $alon vb.) doldurması için sorumluluk vermiş olabilir, bu da dikkat çekmek için.

Deneyimler ve Dersler

1. Taklitçiler için, sadece yüzeysel işlevlere odaklanmayın. Ürünün görünümünü kopyalamak kullanıcıları çekmek için yeterli değildir, aynı zamanda başlangıçta bir itici güç sağlamanız gerekir.

2. Yetki yönetimini güçlendirin, güvenlik bilincini artırın. Çalışanların yetkilerini akıllıca dağıtmak ve sınırlamak, anahtarları düzenli olarak güncellemek, çoklu imza mekanizmaları kurmak gibi önlemler gereklidir.

3. Tamamlayıcı bir iç kontrol sistemi kurun. Personel yönetimi, fon yönetimi, anahtar yönetimi gibi birçok alanı kapsar ve iç personelin yetkileri kötüye kullanmasını önler.

4. Kod denetimi ve açık ödül programına önem verin. Güvenlik denetimleri düzenli olarak yapılmalı, beyaz şapkalı hacker'ların açıkları bulup rapor etmeleri teşvik edilmelidir.

5. Kullanıcıların risk bilincini artırmak. Platform, kullanıcıları potansiyel riskler hakkında net bir şekilde bilgilendirmeli ve kullanıcıların donanım cüzdanı gibi güvenlik önlemleri almasını teşvik etmelidir.

6. Acil durum yanıt mekanizması oluşturun. Güvenlik kazası meydana geldiğinde hızlı bir şekilde yanıt verebilmek için ayrıntılı bir acil durum planı hazırlayın ve kayıpları en aza indirin.

Bu olay, Web3 projelerinin hızlı bir şekilde gelişirken temel güvenlik ilkelerini göz ardı edemeyeceklerini bir kez daha hatırlatmıştır. Yenilik ile güvenlik arasında bir denge bulmak, sektörün sağlıklı bir şekilde ilerlemesini sağlamak için gereklidir.