Аналіз глибини крадіжки Pump

Нещодавно платформа Pump зазнала серйозної безпекової аварії, що викликало широкий інтерес у криптовалютному середовищі. У цій статті буде детально розглянуто хід подій та обговорено ключові питання.

Аналіз методів атаки

Атакуюча сторона, скоріш за все, не є висококласним хакером, а швидше за все, колишнім працівником Pump. Він володіє ключовим гаманцем, який використовується для створення торгових пар токенів на певному DEX, ми називаємо його "гаманцем атаки". Токен-пули, які ще не досягли стандартів листингу на Pump, називаються "підготовчими рахунками".

Атакуючи заповнили всі непідтверджені пулли токенів через миттєвий кредит. У нормальних умовах, коли пул досягає стандартів для розміщення, SOL з підготовчого рахунку переводиться на рахунок атакуючого. Однак, під час цього процесу атакуючий викрав переведений SOL, внаслідок чого ці мем-криптовалюти не змогли бути розміщені вчасно (оскільки пул не мав достатньо коштів).

Аналіз постраждалої сторони

1. Платформа миттєвих кредитів не постраждала, оскільки кредит було повернуто в одному й тому ж блоці.
2. Ліквідність пулів токенів, які вже були розміщені, можливо, не була під впливом.
3. Основними жертвами є користувачі, які придбали токени в неповному пулі до нападу, чиї SOL були викрадені. Це також пояснює, чому оцінка збитків сягає десятків мільйонів доларів.

Можливі причини отримання приватного ключа зловмисником

1. У команді існують очевидні прогалини в управлінні безпекою.
2. Припускається, що заповнення пулу токенів могло бути одним із обов'язків зловмисника. Це схоже на практику деяких проектів на початку, які використовували офіційних ботів для скуповування, щоб створити ажіотаж.

Можна сміливо припустити, що Pump для реалізації холодного запуску, можливо, доручив зловмисникам заповнити випущений самостійно пул токенів (таких як $test, $alon тощо) за рахунок проектних коштів, щоб вивести їх на біржу та підвищити увагу. Однак це зрештою стало ключем до дій зловмисника.

Уроки досвіду

1. Для імітаційних проєктів не слід зупинятись лише на поверхневому імітуванні, вважаючи, що якісний продукт зможе залучити торгівлю. Проєкти взаємодопомоги повинні забезпечити початковий імпульс.

2. Посилити управління правами, приділяючи велику увагу питанням безпеки. Загрози з боку внутрішніх співробітників часто недооцінюються, але можуть призвести до значних втрат.

Ця подія знову підкреслила важливість управління безпекою та внутрішнього контролю в криптовалютних проектах. У міру розвитку галузі, як знайти баланс між інноваціями та безпекою, стане питанням, над яким кожна команда проекту повинна серйозно замислитися.