Нещодавно один з проектів в екосистемі Solana зазнав серйозного безпекового уразливості, що призвело до крадіжки значних коштів. Ця подія виявила істотні недоліки в управлінні правами та заходах безпеки з боку команди проекту.
Аналіз процесу атаки
Атакуюча сторона не є висококласним хакером, а швидше за все, колишнім працівником проекту. Він володів ключовими правами доступу до гаманця, використаного для створення торгових пар Raydium. Атакуючий використав миттєчний кредит, щоб заповнити всі токен-пули, які ще не досягли стандартів запуску, а потім витягнув введені SOL token, що призвело до неможливості запуску цих токенів на Raydium у запланований термін.
Аналіз жертв
Ця подія в основному вплинула на тих, хто купив токени, що ще не були повністю заповнені в пулі, перед атакою. Їхні токени SOL були вкрадені, що призвело до величезних втрат. За оцінками, сума втрат може сягати 2 мільйонів доларів. Токен-пули, які вже запущені на Raydium, можуть не постраждати.
Причини безпекових вразливостей
У команди проекту існують серйозні проблеми з управлінням правами. Є припущення, що зловмисники могли бути відповідальними за наповнення токенів у пул, тому вони отримали доступ до приватних ключів ключових рахунків. Така практика могла бути застосована для створення ажіотажу на початкових етапах проекту, подібно до деяких проектів, які самостійно використовують роботи для покупки, щоб сприяти початковому ажіотажу.
Уроки з досвіду
Управління доступом є надзвичайно важливим: команда проекту повинна суворо контролювати доступ до ключових облікових записів, щоб уникнути єдиної точки відмови.
Безпека аудиту є невід'ємною: перед запуском проєкту необхідно провести всебічний аудит безпеки, щоб вчасно виявити та виправити потенційні вразливості.
Початкова операційна стратегія повинна бути обережною: хоча створення початкового ажіотажу дуже важливо, не слід жертвувати безпекою.
Механізм багатопідпису: для ключових операцій слід впроваджувати механізм багатопідпису, щоб зменшити ризик значних втрат, спричинених однією особою.
Періодична оцінка безпеки: з розвитком проекту слід регулярно проводити оцінку безпеки та своєчасно оновлювати заходи безпеки.
Ця подія ще раз нагадує нам, що в швидко розвивається індустрії блокчейну безпека завжди є першочерговим завданням. Команди проектів повинні знайти баланс між прагненням до інновацій і забезпеченням безпеки, щоб гарантувати безпеку активів користувачів та довгострокове здорове зростання проекту.
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
9 лайків
Нагородити
9
1
Поділіться
Прокоментувати
0/400
TrustlessMaximalist
· 07-23 04:29
Звільняючись, також потрібно змінити Секретний ключ
Проект екосистеми Solana зазнав атаки на 2 мільйони доларів, колишній співробітник може бути причетний.
Значна безпекова подія в екосистемі Solana
Нещодавно один з проектів в екосистемі Solana зазнав серйозного безпекового уразливості, що призвело до крадіжки значних коштів. Ця подія виявила істотні недоліки в управлінні правами та заходах безпеки з боку команди проекту.
Аналіз процесу атаки
Атакуюча сторона не є висококласним хакером, а швидше за все, колишнім працівником проекту. Він володів ключовими правами доступу до гаманця, використаного для створення торгових пар Raydium. Атакуючий використав миттєчний кредит, щоб заповнити всі токен-пули, які ще не досягли стандартів запуску, а потім витягнув введені SOL token, що призвело до неможливості запуску цих токенів на Raydium у запланований термін.
Аналіз жертв
Ця подія в основному вплинула на тих, хто купив токени, що ще не були повністю заповнені в пулі, перед атакою. Їхні токени SOL були вкрадені, що призвело до величезних втрат. За оцінками, сума втрат може сягати 2 мільйонів доларів. Токен-пули, які вже запущені на Raydium, можуть не постраждати.
Причини безпекових вразливостей
У команди проекту існують серйозні проблеми з управлінням правами. Є припущення, що зловмисники могли бути відповідальними за наповнення токенів у пул, тому вони отримали доступ до приватних ключів ключових рахунків. Така практика могла бути застосована для створення ажіотажу на початкових етапах проекту, подібно до деяких проектів, які самостійно використовують роботи для покупки, щоб сприяти початковому ажіотажу.
Уроки з досвіду
Управління доступом є надзвичайно важливим: команда проекту повинна суворо контролювати доступ до ключових облікових записів, щоб уникнути єдиної точки відмови.
Безпека аудиту є невід'ємною: перед запуском проєкту необхідно провести всебічний аудит безпеки, щоб вчасно виявити та виправити потенційні вразливості.
Початкова операційна стратегія повинна бути обережною: хоча створення початкового ажіотажу дуже важливо, не слід жертвувати безпекою.
Механізм багатопідпису: для ключових операцій слід впроваджувати механізм багатопідпису, щоб зменшити ризик значних втрат, спричинених однією особою.
Періодична оцінка безпеки: з розвитком проекту слід регулярно проводити оцінку безпеки та своєчасно оновлювати заходи безпеки.
Ця подія ще раз нагадує нам, що в швидко розвивається індустрії блокчейну безпека завжди є першочерговим завданням. Команди проектів повинні знайти баланс між прагненням до інновацій і забезпеченням безпеки, щоб гарантувати безпеку активів користувачів та довгострокове здорове зростання проекту.