В последнее время платформа Pump столкнулась с серьезным инцидентом безопасности, который привел к значительным потерям средств. После анализа было установлено, что эта атака, скорее всего, была осуществлена не опытными хакерами, а бывшим сотрудником в результате внутреннего преступления.
Атакующий воспользовался доступом к ключевому аккаунту, который отвечает за создание торговых пар новых токенов на одном DEX. В процессе атаки они заняли значительные средства через флеш-кредиты и быстро заполнили все неполные токеновые пула. В нормальных условиях эти средства должны были быть заблокированы в ликвидностном пуле, но атакующий в критический момент вывел эти средства, что привело к тому, что новосозданные токены не смогли выйти на DEX в срок.
Эта атака в основном затронула токен-пулы, которые еще не были полностью заполнены. Токены, которые уже были запущены на DEX и заблокированы в ликвидности, не должны пострадать. Основными жертвами стали пользователи, которые приобрели токены из этих неполностью заполненных пулов до атаки, и их средства были переведены. Хотя первоначальная оценка потерь могла достигать 80 миллионов долларов, последние данные показывают, что фактические потери составили около 2 миллионов долларов.
Что касается того, как злоумышленники получили приватные ключи ключевых аккаунтов, это явно отражает серьезные недостатки команды проекта в управлении доступом. Существует предположение, что злоумышленники, возможно, когда-то отвечали за заполнение ликвидных пулов нововыпущенных токенов, что изначально было задумано для быстрого запуска проекта на начальном этапе и привлечения внимания.
Этот инцидент предоставил важный урок безопасности для проектов блокчейна:
Управление доступом имеет решающее значение, особенно когда речь идет о ключевых счетах, связанных с операциями с финансами.
Операционная стратегия на начальном этапе проекта должна быть тщательно продумана, особенно когда речь идет о человеческом вмешательстве в рынок.
Механизмы безопасности и внутреннего контроля должны охватывать весь жизненный цикл проекта.
Для новых платформ, имитирующих другие успешные проекты, недостаточно просто копировать поверхностные функции, необходимо глубоко понимать основные механизмы и потенциальные риски.
Этот инцидент еще раз подчеркивает уязвимость сферы децентрализованных финансов, а также напоминает инвесторам о необходимости быть настороже и полностью осознавать потенциальные риски при участии в новых проектах.
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
Платформа Pump подверглась внутренней атаке, убытки составили около 2000000 долларов.
Подробности атаки на Pump
В последнее время платформа Pump столкнулась с серьезным инцидентом безопасности, который привел к значительным потерям средств. После анализа было установлено, что эта атака, скорее всего, была осуществлена не опытными хакерами, а бывшим сотрудником в результате внутреннего преступления.
Атакующий воспользовался доступом к ключевому аккаунту, который отвечает за создание торговых пар новых токенов на одном DEX. В процессе атаки они заняли значительные средства через флеш-кредиты и быстро заполнили все неполные токеновые пула. В нормальных условиях эти средства должны были быть заблокированы в ликвидностном пуле, но атакующий в критический момент вывел эти средства, что привело к тому, что новосозданные токены не смогли выйти на DEX в срок.
Эта атака в основном затронула токен-пулы, которые еще не были полностью заполнены. Токены, которые уже были запущены на DEX и заблокированы в ликвидности, не должны пострадать. Основными жертвами стали пользователи, которые приобрели токены из этих неполностью заполненных пулов до атаки, и их средства были переведены. Хотя первоначальная оценка потерь могла достигать 80 миллионов долларов, последние данные показывают, что фактические потери составили около 2 миллионов долларов.
Что касается того, как злоумышленники получили приватные ключи ключевых аккаунтов, это явно отражает серьезные недостатки команды проекта в управлении доступом. Существует предположение, что злоумышленники, возможно, когда-то отвечали за заполнение ликвидных пулов нововыпущенных токенов, что изначально было задумано для быстрого запуска проекта на начальном этапе и привлечения внимания.
Этот инцидент предоставил важный урок безопасности для проектов блокчейна:
Управление доступом имеет решающее значение, особенно когда речь идет о ключевых счетах, связанных с операциями с финансами.
Операционная стратегия на начальном этапе проекта должна быть тщательно продумана, особенно когда речь идет о человеческом вмешательстве в рынок.
Механизмы безопасности и внутреннего контроля должны охватывать весь жизненный цикл проекта.
Для новых платформ, имитирующих другие успешные проекты, недостаточно просто копировать поверхностные функции, необходимо глубоко понимать основные механизмы и потенциальные риски.
Этот инцидент еще раз подчеркивает уязвимость сферы децентрализованных финансов, а также напоминает инвесторам о необходимости быть настороже и полностью осознавать потенциальные риски при участии в новых проектах.