Recentemente, a plataforma Pump enfrentou um grave incidente de segurança, resultando em grandes perdas financeiras. Após análise, este ataque não foi realizado por hackers altamente qualificados, mas muito provavelmente foi executado por um ex-funcionário em um crime interno.
Os atacantes exploraram o acesso a uma conta-chave, responsável por criar pares de negociação para novos tokens em um determinado DEX. Durante o ataque, eles tomaram emprestado uma grande quantidade de fundos através de um empréstimo relâmpago, preenchendo rapidamente todos os pools de tokens que não estavam completamente preenchidos. Normalmente, esses fundos deveriam estar bloqueados no pool de liquidez, mas os atacantes retiraram esses fundos em um momento crítico, fazendo com que os novos tokens criados não pudessem ser lançados no DEX conforme o esperado.
Este ataque afetou principalmente os pools de tokens que ainda não estavam totalmente preenchidos. Os tokens que já foram lançados na DEX e têm liquidez bloqueada não devem ser afetados. As vítimas são principalmente os usuários que compraram tokens nesses pools parcialmente preenchidos antes do ataque, e seus fundos foram transferidos. Embora a perda inicial estimada possa ter chegado a 80 milhões de dólares, os dados mais recentes mostram que a perda real é de cerca de 2 milhões de dólares.
Sobre como os atacantes obtiveram a chave privada da conta principal, isso reflete claramente uma grande negligência da equipe do projeto em gerenciamento de permissões. Há especulações de que os atacantes podem ter sido responsáveis por fornecer liquidez para o pool de liquidez dos novos tokens emitidos, um trabalho que tinha a intenção de ajudar o projeto a iniciar rapidamente e atrair atenção.
Este incidente forneceu importantes lições de segurança para projetos de blockchain:
A gestão de permissões é crucial, especialmente em contas chave que envolvem operações financeiras.
A estratégia de operação no início do projeto deve ser considerada com cuidado, especialmente no que diz respeito a ações que envolvem intervenção humana no mercado.
Mecanismos de auditoria de segurança e controle interno devem estar presentes ao longo de todo o ciclo de vida do projeto.
Para novas plataformas que imitam outros projetos de sucesso, apenas copiar funcionalidades superficiais não é suficiente; é necessário compreender profundamente os mecanismos subjacentes e os riscos potenciais.
Este incidente enfatiza novamente a vulnerabilidade no campo das finanças descentralizadas e lembra os investidores da necessidade de se manterem alertas ao participarem de novos projetos, compreendendo plenamente os riscos potenciais.
Esta página pode conter conteúdos de terceiros, que são fornecidos apenas para fins informativos (sem representações/garantias) e não devem ser considerados como uma aprovação dos seus pontos de vista pela Gate, nem como aconselhamento financeiro ou profissional. Consulte a Declaração de exoneração de responsabilidade para obter mais informações.
A plataforma Pump sofreu um ataque interno, com uma perda de cerca de 2 milhões de dólares.
Detalhes do incidente de ataque ao Pump
Recentemente, a plataforma Pump enfrentou um grave incidente de segurança, resultando em grandes perdas financeiras. Após análise, este ataque não foi realizado por hackers altamente qualificados, mas muito provavelmente foi executado por um ex-funcionário em um crime interno.
Os atacantes exploraram o acesso a uma conta-chave, responsável por criar pares de negociação para novos tokens em um determinado DEX. Durante o ataque, eles tomaram emprestado uma grande quantidade de fundos através de um empréstimo relâmpago, preenchendo rapidamente todos os pools de tokens que não estavam completamente preenchidos. Normalmente, esses fundos deveriam estar bloqueados no pool de liquidez, mas os atacantes retiraram esses fundos em um momento crítico, fazendo com que os novos tokens criados não pudessem ser lançados no DEX conforme o esperado.
Este ataque afetou principalmente os pools de tokens que ainda não estavam totalmente preenchidos. Os tokens que já foram lançados na DEX e têm liquidez bloqueada não devem ser afetados. As vítimas são principalmente os usuários que compraram tokens nesses pools parcialmente preenchidos antes do ataque, e seus fundos foram transferidos. Embora a perda inicial estimada possa ter chegado a 80 milhões de dólares, os dados mais recentes mostram que a perda real é de cerca de 2 milhões de dólares.
Sobre como os atacantes obtiveram a chave privada da conta principal, isso reflete claramente uma grande negligência da equipe do projeto em gerenciamento de permissões. Há especulações de que os atacantes podem ter sido responsáveis por fornecer liquidez para o pool de liquidez dos novos tokens emitidos, um trabalho que tinha a intenção de ajudar o projeto a iniciar rapidamente e atrair atenção.
Este incidente forneceu importantes lições de segurança para projetos de blockchain:
A gestão de permissões é crucial, especialmente em contas chave que envolvem operações financeiras.
A estratégia de operação no início do projeto deve ser considerada com cuidado, especialmente no que diz respeito a ações que envolvem intervenção humana no mercado.
Mecanismos de auditoria de segurança e controle interno devem estar presentes ao longo de todo o ciclo de vida do projeto.
Para novas plataformas que imitam outros projetos de sucesso, apenas copiar funcionalidades superficiais não é suficiente; é necessário compreender profundamente os mecanismos subjacentes e os riscos potenciais.
Este incidente enfatiza novamente a vulnerabilidade no campo das finanças descentralizadas e lembra os investidores da necessidade de se manterem alertas ao participarem de novos projetos, compreendendo plenamente os riscos potenciais.