Нещодавно платформа Pump зазнала серйозної безпекової події, що призвела до значних фінансових втрат. Після аналізу стало зрозуміло, що ця атака не була здійснена досвідченим хакером, а, ймовірно, була виконана колишнім співробітником.
Зловмисники скористалися доступом до ключового облікового запису, який відповідає за створення торгових пар нових токенів на певному DEX. Під час атаки вони взяли в кредит велику кількість коштів через миттєвий кредит, швидко заповнивши всі неповністю заповнені токен-кошики. У нормальних умовах ці кошти повинні були бути заблоковані в ліквіднісному пулі, але зловмисники в критичний момент вивели ці кошти, що призвело до того, що новостворені токени не змогли вчасно з'явитися на DEX.
Ця атака в основному вплинула на токен-пули, які ще не були повністю заповнені. Токени, які вже запущені на DEX і мають заблоковану ліквідність, повинні залишитися незачепленими. Постраждалими в основному є користувачі, які придбали токени в цих неповністю заповнених пулах до початку атаки, чиї кошти були переведені. Хоча спочатку оцінювалося, що збитки можуть досягти 80 мільйонів доларів, останні дані показують, що фактичні збитки становлять близько 2 мільйонів доларів.
Щодо того, як атакуючий отримав приватний ключ ключового рахунку, це явно відображає значну недбалість команди проекту в управлінні правами. Є припущення, що атакуючий міг бути відповідальним за заповнення ліквідності пулу нововиданими токенами, ця робота насправді мала на меті допомогти швидко запустити проект на початковому етапі та привернути увагу.
Ця подія надала важливий урок безпеки для проектів блокчейн:
Управління доступом має вирішальне значення, особливо коли мова йде про ключові рахунки, що стосуються фінансових операцій.
Стратегії управління на початкових етапах проекту потрібно ретельно розглядати, особливо коли йдеться про дії, які передбачають людське втручання на ринку.
Механізми безпеки аудиту та внутрішнього контролю повинні пронизувати весь життєвий цикл проекту.
Для нових платформ, які імітують інші успішні проекти, просто копіювати поверхневі функції недостатньо, потрібно також глибоко розуміти базові механізми та потенційні ризики.
Ця подія ще раз підкреслила вразливість сфери децентралізованих фінансів і нагадала інвесторам бути обережними при участі в нових проектах, повністю усвідомлюючи потенційні ризики.
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
Платформа Pump зазнала внутрішньої атаки, приблизно 2000000 доларів США втрачено.
Детальний опис інциденту з атакою на Pump
Нещодавно платформа Pump зазнала серйозної безпекової події, що призвела до значних фінансових втрат. Після аналізу стало зрозуміло, що ця атака не була здійснена досвідченим хакером, а, ймовірно, була виконана колишнім співробітником.
Зловмисники скористалися доступом до ключового облікового запису, який відповідає за створення торгових пар нових токенів на певному DEX. Під час атаки вони взяли в кредит велику кількість коштів через миттєвий кредит, швидко заповнивши всі неповністю заповнені токен-кошики. У нормальних умовах ці кошти повинні були бути заблоковані в ліквіднісному пулі, але зловмисники в критичний момент вивели ці кошти, що призвело до того, що новостворені токени не змогли вчасно з'явитися на DEX.
Ця атака в основному вплинула на токен-пули, які ще не були повністю заповнені. Токени, які вже запущені на DEX і мають заблоковану ліквідність, повинні залишитися незачепленими. Постраждалими в основному є користувачі, які придбали токени в цих неповністю заповнених пулах до початку атаки, чиї кошти були переведені. Хоча спочатку оцінювалося, що збитки можуть досягти 80 мільйонів доларів, останні дані показують, що фактичні збитки становлять близько 2 мільйонів доларів.
Щодо того, як атакуючий отримав приватний ключ ключового рахунку, це явно відображає значну недбалість команди проекту в управлінні правами. Є припущення, що атакуючий міг бути відповідальним за заповнення ліквідності пулу нововиданими токенами, ця робота насправді мала на меті допомогти швидко запустити проект на початковому етапі та привернути увагу.
Ця подія надала важливий урок безпеки для проектів блокчейн:
Управління доступом має вирішальне значення, особливо коли мова йде про ключові рахунки, що стосуються фінансових операцій.
Стратегії управління на початкових етапах проекту потрібно ретельно розглядати, особливо коли йдеться про дії, які передбачають людське втручання на ринку.
Механізми безпеки аудиту та внутрішнього контролю повинні пронизувати весь життєвий цикл проекту.
Для нових платформ, які імітують інші успішні проекти, просто копіювати поверхневі функції недостатньо, потрібно також глибоко розуміти базові механізми та потенційні ризики.
Ця подія ще раз підкреслила вразливість сфери децентралізованих фінансів і нагадала інвесторам бути обережними при участі в нових проектах, повністю усвідомлюючи потенційні ризики.