Phân tích sự kiện bị đánh cắp Pump và bài học

Gần đây, nền tảng Pump đã gặp phải một sự cố an ninh nghiêm trọng, dẫn đến tổn thất lớn về tài sản. Bài viết này sẽ phân tích sâu về sự kiện này và thảo luận về những bài học kinh nghiệm từ đó.

Quá trình tấn công

Kẻ tấn công không phải là hacker cao cấp, mà rất có thể là một cựu nhân viên của Pump. Họ nắm giữ ví quyền hạn để tạo ra các cặp giao dịch token chó đất trên một số DEX, mà chúng tôi gọi là "tài khoản mục tiêu". Các token chó đất được tạo ra trên Pump trước khi đạt tiêu chuẩn niêm yết, tất cả các bể LP của Bonding Curve được gọi là "tài khoản dự bị".

Kẻ tấn công đã mượn tiền thông qua vay chớp nhoáng, lấp đầy tất cả các hồ bơi không đạt tiêu chuẩn lên sóng. Trong điều kiện bình thường, lúc này SOL trong "tài khoản chuẩn bị" sẽ được chuyển vào "tài khoản mục tiêu" do đã đạt tiêu chuẩn. Tuy nhiên, kẻ tấn công đã lợi dụng cơ hội rút SOL đã được chuyển vào, dẫn đến việc các đồng meme lẽ ra phải lên sóng không thể lên sóng đúng hạn.

Phân tích nạn nhân

1. Nền tảng cho vay chớp nhoáng không bị ảnh hưởng vì khoản vay được hoàn trả trong cùng một khối.
2. Token chó đất đã lên sàn DEX do LP đã được khóa, có thể không bị ảnh hưởng.
3. Những nạn nhân chính là những người dùng đã mua token trong các bể chưa đầy trên nền tảng Pump trước khi cuộc tấn công xảy ra, và SOL của họ đã bị chuyển đi.

Thảo luận về nguyên nhân tấn công

1. Nền tảng có lỗ hổng quản lý quyền nghiêm trọng.
2. Đoán rằng kẻ tấn công có thể đã chịu trách nhiệm lấp đầy hồ bơi token. Tương tự như việc một số nền tảng xã hội trong giai đoạn đầu sử dụng robot để mua Key nhằm tạo ra độ nóng, Pump có thể khiến kẻ tấn công chịu trách nhiệm sử dụng quỹ dự án để lấp đầy hồ bơi token do họ phát hành (như $test, $alon, v.v.) để tạo ra sự chú ý.

Bài học kinh nghiệm

1. Đối với những người bắt chước, đừng chỉ chú ý đến chức năng bề ngoài. Chỉ sao chép hình dáng sản phẩm không đủ để thu hút người dùng, mà còn cần cung cấp động lực ban đầu.

2. Tăng cường quản lý quyền hạn, nâng cao nhận thức về an ninh. Phân bổ và giới hạn quyền hạn của nhân viên một cách hợp lý, cập nhật khóa thường xuyên, thiết lập cơ chế ký đa chữ ký là những biện pháp an ninh cần thiết.

3. Thiết lập hệ thống kiểm soát nội bộ hoàn thiện. Bao gồm quản lý nhân sự, quản lý tài chính, quản lý chìa khóa và nhiều khía cạnh khác, nhằm ngăn chặn việc lạm dụng quyền hạn bởi nhân viên nội bộ.

4. Đề cao việc kiểm tra mã và chương trình thưởng phát hiện lỗ hổng. Thực hiện kiểm tra an ninh định kỳ, khuyến khích các hacker mũ trắng phát hiện và báo cáo lỗ hổng.

5. Nâng cao nhận thức về rủi ro của người dùng. Nền tảng nên truyền đạt rõ ràng cho người dùng về những rủi ro tiềm ẩn, khuyến khích người dùng áp dụng các biện pháp an toàn, chẳng hạn như sử dụng ví phần cứng.

6. Thiết lập cơ chế phản ứng khẩn cấp. Lập kế hoạch ứng phó chi tiết, để có thể phản ứng nhanh chóng khi xảy ra sự cố an ninh, giảm thiểu thiệt hại ở mức tối đa.

Sự kiện lần này lại nhắc nhở các dự án Web3 rằng trong quá trình phát triển nhanh chóng, không thể bỏ qua các nguyên tắc an toàn cơ bản. Chỉ khi tìm được sự cân bằng giữa đổi mới và an toàn, ngành công nghiệp mới thực sự có thể phát triển một cách lành mạnh.