مؤخراً، تعرضت منصة Pump لحدث أمني خطير أدى إلى خسائر مالية كبيرة. بعد التحليل، يبدو أن هذا الهجوم لم يُنفذ من قبل قراصنة محترفين، بل من المحتمل أن يكون قد تم تنفيذه من قبل موظف سابق.
استغل المهاجمون صلاحيات الوصول إلى حساب رئيسي، كان مسؤولاً عن إنشاء أزواج تداول الرموز الجديدة على DEX معين. خلال عملية الهجوم، اقترضوا مبالغ ضخمة من الأموال عبر القرض السريع، وقاموا بملء جميع برك الرموز غير المملوءة بسرعة. عادة، يجب قفل هذه الأموال في بركة السيولة، لكن المهاجمين سحبوا هذه الأموال في اللحظة الحرجة، مما أدى إلى عدم إمكانية إدراج الرموز الجديدة في DEX كما هو مقرر.
كان لهذا الهجوم تأثير رئيسي على أحواض الرموز غير المملوءة بالكامل. يجب أن لا تتأثر الرموز التي تم إدراجها بالفعل على DEX ومقفلة السيولة. الضحايا هم في الأساس المستخدمون الذين اشتروا الرموز من هذه الأحواض غير المملوءة بالكامل قبل وقوع الهجوم، وتم تحويل أموالهم. على الرغم من أن التقديرات الأولية للخسائر قد تصل إلى 80 مليون دولار، إلا أن البيانات الأخيرة تظهر أن الخسائر الفعلية تبلغ حوالي 2 مليون دولار.
إن كيفية حصول المهاجمين على المفتاح الخاص للحسابات الرئيسية تعكس بوضوح إهمالًا كبيرًا من فريق المشروع في إدارة الصلاحيات. هناك تكهنات تفيد بأن المهاجمين قد يكونون مسؤولين سابقًا عن تعبئة صندوق السيولة للرموز المميزة الجديدة، وكان هذا العمل يهدف في الأصل إلى مساعدة المشروع في البداية على الانطلاق بسرعة وجذب الانتباه.
هذه الحادثة قدمت دروسًا أمنية مهمة لمشاريع blockchain:
إدارة الأذونات أمر حيوي، خاصة عندما يتعلق الأمر بالحسابات الرئيسية التي تتعامل مع العمليات المالية.
يجب أن تكون استراتيجية التشغيل في بداية المشروع مدروسة بعناية، خاصةً فيما يتعلق بالأفعال التي تتضمن التدخل البشري في السوق.
يجب أن تمتد عملية التدقيق الأمني وآلية التحكم الداخلي عبر دورة حياة المشروع بالكامل.
بالنسبة للمنصات الجديدة التي تقلد مشاريع ناجحة أخرى، فإن مجرد نسخ الوظائف السطحية ليس كافياً، بل يجب فهم الآليات الأساسية والمخاطر المحتملة بعمق.
تؤكد هذه الحادثة مرة أخرى على هشاشة مجال التمويل اللامركزي، كما تذكر المستثمرين بضرورة توخي الحذر عند المشاركة في المشاريع الناشئة وفهم المخاطر المحتملة بشكل كامل.
قد تحتوي هذه الصفحة على محتوى من جهات خارجية، يتم تقديمه لأغراض إعلامية فقط (وليس كإقرارات/ضمانات)، ولا ينبغي اعتباره موافقة على آرائه من قبل Gate، ولا بمثابة نصيحة مالية أو مهنية. انظر إلى إخلاء المسؤولية للحصول على التفاصيل.
تعرضت منصة Pump لهجوم داخلي، مما أدى إلى خسارة حوالي 2000000 دولار.
تفاصيل حادثة هجوم Pump
مؤخراً، تعرضت منصة Pump لحدث أمني خطير أدى إلى خسائر مالية كبيرة. بعد التحليل، يبدو أن هذا الهجوم لم يُنفذ من قبل قراصنة محترفين، بل من المحتمل أن يكون قد تم تنفيذه من قبل موظف سابق.
استغل المهاجمون صلاحيات الوصول إلى حساب رئيسي، كان مسؤولاً عن إنشاء أزواج تداول الرموز الجديدة على DEX معين. خلال عملية الهجوم، اقترضوا مبالغ ضخمة من الأموال عبر القرض السريع، وقاموا بملء جميع برك الرموز غير المملوءة بسرعة. عادة، يجب قفل هذه الأموال في بركة السيولة، لكن المهاجمين سحبوا هذه الأموال في اللحظة الحرجة، مما أدى إلى عدم إمكانية إدراج الرموز الجديدة في DEX كما هو مقرر.
كان لهذا الهجوم تأثير رئيسي على أحواض الرموز غير المملوءة بالكامل. يجب أن لا تتأثر الرموز التي تم إدراجها بالفعل على DEX ومقفلة السيولة. الضحايا هم في الأساس المستخدمون الذين اشتروا الرموز من هذه الأحواض غير المملوءة بالكامل قبل وقوع الهجوم، وتم تحويل أموالهم. على الرغم من أن التقديرات الأولية للخسائر قد تصل إلى 80 مليون دولار، إلا أن البيانات الأخيرة تظهر أن الخسائر الفعلية تبلغ حوالي 2 مليون دولار.
إن كيفية حصول المهاجمين على المفتاح الخاص للحسابات الرئيسية تعكس بوضوح إهمالًا كبيرًا من فريق المشروع في إدارة الصلاحيات. هناك تكهنات تفيد بأن المهاجمين قد يكونون مسؤولين سابقًا عن تعبئة صندوق السيولة للرموز المميزة الجديدة، وكان هذا العمل يهدف في الأصل إلى مساعدة المشروع في البداية على الانطلاق بسرعة وجذب الانتباه.
هذه الحادثة قدمت دروسًا أمنية مهمة لمشاريع blockchain:
إدارة الأذونات أمر حيوي، خاصة عندما يتعلق الأمر بالحسابات الرئيسية التي تتعامل مع العمليات المالية.
يجب أن تكون استراتيجية التشغيل في بداية المشروع مدروسة بعناية، خاصةً فيما يتعلق بالأفعال التي تتضمن التدخل البشري في السوق.
يجب أن تمتد عملية التدقيق الأمني وآلية التحكم الداخلي عبر دورة حياة المشروع بالكامل.
بالنسبة للمنصات الجديدة التي تقلد مشاريع ناجحة أخرى، فإن مجرد نسخ الوظائف السطحية ليس كافياً، بل يجب فهم الآليات الأساسية والمخاطر المحتملة بعمق.
تؤكد هذه الحادثة مرة أخرى على هشاشة مجال التمويل اللامركزي، كما تذكر المستثمرين بضرورة توخي الحذر عند المشاركة في المشاريع الناشئة وفهم المخاطر المحتملة بشكل كامل.