Son zamanlarda, Pump platformu ciddi bir güvenlik olayıyla karşılaştı ve büyük miktarda para kaybına neden oldu. Analizler sonucunda, bu saldırının üst düzey bir hacker tarafından gerçekleştirilmediği, muhtemelen bir eski çalışan tarafından içten bir eylem olarak gerçekleştirildiği ortaya çıktı.
Saldırganlar, belirli bir DEX'te yeni token'lerin işlem çiftlerini oluşturmakla sorumlu olan kritik bir hesabın erişim haklarını kullandı. Saldırı sırasında, büyük miktarda fonu flash kredi ile borç alarak, tüm eksik doldurulmuş token havuzlarını hızla doldurdular. Normalde, bu fonların likidite havuzlarında kilitlenmiş olması gerekirdi, ancak saldırganlar kritik bir anda bu fonları çekerek yeni oluşturulan token'lerin DEX'te zamanında piyasaya sürülmesini engelledi.
Bu saldırı, henüz tam olarak doldurulmamış token havuzlarını esasen etkiledi. DEX'te zaten listelenmiş ve likiditesi kilitlenmiş olan token'lar etkilenmemelidir. Mağdurlar esas olarak, saldırıdan önce bu henüz tam olarak doldurulmamış havuzlardaki token'ları satın alan kullanıcılardır; bu kullanıcıların fonları transfer edildi. İlk başta kayıpların 80 milyon dolara kadar yükselebileceği tahmin ediliyordu, ancak en son veriler gerçek kaybın yaklaşık 2 milyon dolar olduğunu gösteriyor.
Saldırganların anahtar hesapların özel anahtarlarını nasıl elde ettiğine dair bu durum, proje ekibinin yetki yönetiminde büyük bir ihmal olduğunu açıkça yansıtıyor. Saldırganların, yeni çıkarılan tokenlerin likidite havuzunu doldurmaktan sorumlu olabileceğine dair spekülasyonlar var; bu iş, projenin başlangıç aşamasında hızlı bir şekilde başlamasına ve dikkat çekmesine yardımcı olmak amacıyla yapılmıştı.
Bu olay, blok zinciri projelerine önemli bir güvenlik dersi sağladı:
Yetki yönetimi son derece önemlidir, özellikle de fon işlemleriyle ilgili ana hesaplar söz konusu olduğunda.
Projenin başlangıç aşamasındaki operasyonel stratejileri dikkatlice düşünülmelidir, özellikle de piyasa üzerinde insan müdahalesini içeren eylemler söz konusu olduğunda.
Güvenlik denetimi ve iç kontrol mekanizmaları projenin tüm yaşam döngüsüne yayılmalıdır.
Diğer başarılı projeleri taklit eden yeni platformlar için yalnızca yüzeysel işlevleri kopyalamak yeterli değildir, ayrıca temel mekanizmaları ve potansiyel riskleri derinlemesine anlamak gerekmektedir.
Bu olay, merkeziyetsiz finans alanının kırılganlığını bir kez daha vurguladı ve yatırımcılara yeni projelere katılırken dikkatli olmalarını, potansiyel riskleri tam olarak anlamalarını hatırlattı.
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
Pump platformu iç saldırıya uğradı, yaklaşık 200.000 dolar zarar.
Pump saldırı olayı detayları
Son zamanlarda, Pump platformu ciddi bir güvenlik olayıyla karşılaştı ve büyük miktarda para kaybına neden oldu. Analizler sonucunda, bu saldırının üst düzey bir hacker tarafından gerçekleştirilmediği, muhtemelen bir eski çalışan tarafından içten bir eylem olarak gerçekleştirildiği ortaya çıktı.
Saldırganlar, belirli bir DEX'te yeni token'lerin işlem çiftlerini oluşturmakla sorumlu olan kritik bir hesabın erişim haklarını kullandı. Saldırı sırasında, büyük miktarda fonu flash kredi ile borç alarak, tüm eksik doldurulmuş token havuzlarını hızla doldurdular. Normalde, bu fonların likidite havuzlarında kilitlenmiş olması gerekirdi, ancak saldırganlar kritik bir anda bu fonları çekerek yeni oluşturulan token'lerin DEX'te zamanında piyasaya sürülmesini engelledi.
Bu saldırı, henüz tam olarak doldurulmamış token havuzlarını esasen etkiledi. DEX'te zaten listelenmiş ve likiditesi kilitlenmiş olan token'lar etkilenmemelidir. Mağdurlar esas olarak, saldırıdan önce bu henüz tam olarak doldurulmamış havuzlardaki token'ları satın alan kullanıcılardır; bu kullanıcıların fonları transfer edildi. İlk başta kayıpların 80 milyon dolara kadar yükselebileceği tahmin ediliyordu, ancak en son veriler gerçek kaybın yaklaşık 2 milyon dolar olduğunu gösteriyor.
Saldırganların anahtar hesapların özel anahtarlarını nasıl elde ettiğine dair bu durum, proje ekibinin yetki yönetiminde büyük bir ihmal olduğunu açıkça yansıtıyor. Saldırganların, yeni çıkarılan tokenlerin likidite havuzunu doldurmaktan sorumlu olabileceğine dair spekülasyonlar var; bu iş, projenin başlangıç aşamasında hızlı bir şekilde başlamasına ve dikkat çekmesine yardımcı olmak amacıyla yapılmıştı.
Bu olay, blok zinciri projelerine önemli bir güvenlik dersi sağladı:
Yetki yönetimi son derece önemlidir, özellikle de fon işlemleriyle ilgili ana hesaplar söz konusu olduğunda.
Projenin başlangıç aşamasındaki operasyonel stratejileri dikkatlice düşünülmelidir, özellikle de piyasa üzerinde insan müdahalesini içeren eylemler söz konusu olduğunda.
Güvenlik denetimi ve iç kontrol mekanizmaları projenin tüm yaşam döngüsüne yayılmalıdır.
Diğer başarılı projeleri taklit eden yeni platformlar için yalnızca yüzeysel işlevleri kopyalamak yeterli değildir, ayrıca temel mekanizmaları ve potansiyel riskleri derinlemesine anlamak gerekmektedir.
Bu olay, merkeziyetsiz finans alanının kırılganlığını bir kez daha vurguladı ve yatırımcılara yeni projelere katılırken dikkatli olmalarını, potansiyel riskleri tam olarak anlamalarını hatırlattı.