Belakangan ini, proyek Pump mengalami sebuah insiden keamanan yang mengakibatkan kehilangan dana dalam jumlah besar. Artikel ini akan menganalisis secara mendalam penyebab, proses, dan dampak dari insiden ini.
Proses Serangan
Penyerang bukanlah peretas tingkat lanjut, tetapi kemungkinan besar adalah mantan karyawan proyek Pump. Dia memiliki dompet otorisasi yang digunakan Pump untuk membuat pasangan perdagangan di Raydium, yang kami sebut sebagai "akun target". Kolam likuiditas token yang dibuat di Pump namun belum memenuhi standar untuk diluncurkan di Raydium disebut sebagai "akun persiapan".
Penyerang pertama-tama mendapatkan pinjaman kilat dari suatu platform peminjaman, yang digunakan untuk memenuhi semua kolam token yang belum memenuhi syarat. Dalam keadaan normal, setelah kolam mencapai syarat, SOL yang ada di akun persiapan seharusnya ditransfer ke akun target. Namun, penyerang mencuri SOL yang ditransfer dalam proses ini, menyebabkan token-token tersebut tidak dapat diluncurkan sesuai jadwal di Raydium.
Analisis Korban
Serangan kali ini tidak mempengaruhi dana platform pinjaman, karena pinjaman kilat diselesaikan dalam blok yang sama. Token yang sudah diluncurkan di Raydium juga seharusnya tidak terpengaruh karena likuiditasnya telah terkunci.
Kerugian yang sebenarnya dialami oleh para investor di kolam Pump token yang belum terisi sebelum serangan terjadi. SOL yang mereka bayar saat membeli token dipindahkan oleh penyerang, ini juga menjelaskan mengapa jumlah kerugian begitu besar. Data terbaru menunjukkan bahwa kerugian aktual sekitar 2 juta dolar.
Ancaman Internal
Penyerang dapat memperoleh kunci pribadi dari akun target, yang mengungkapkan kelalaian serius pihak proyek dalam manajemen hak akses. Diperkirakan bahwa ini mungkin terkait dengan strategi operasional awal proyek.
Pada tahap awal proyek, untuk memulai dengan cepat dan menarik perhatian, Pump mungkin akan menunjuk beberapa karyawan untuk menggunakan dana proyek untuk mengisi kolam likuiditas token yang baru diterbitkan, sehingga token-token ini dapat diluncurkan di Raydium dan menciptakan ketertarikan. Praktik ini meskipun mungkin efektif dalam jangka pendek, tetapi pada akhirnya menjadi risiko keamanan.
Ringkasan Pelajaran
Manajemen akses sangat penting: Pihak proyek harus secara ketat mengendalikan akses ke akun kunci, secara berkala mengganti kunci, dan menerapkan mekanisme tanda tangan ganda.
Hati-hati dalam menangani likuiditas awal: Meskipun menyediakan likuiditas awal sangat penting untuk proyek baru, perlu dilakukan dengan cara yang lebih aman dan transparan, bukan hanya mengandalkan satu orang atau akun.
Audit kode sangat penting: bahkan untuk proyek sederhana, harus dilakukan audit keamanan yang komprehensif, terutama pada bagian kunci yang melibatkan aliran dana.
Mengatasi ancaman internal: Membangun proses pemecatan karyawan yang baik untuk memastikan semua hak akses mantan karyawan dicabut tepat waktu.
Transparansi adalah kunci: pihak proyek harus secara proaktif mengungkapkan arsitektur proyek dan langkah-langkah keamanan untuk meningkatkan kepercayaan pengguna.
Peristiwa ini sekali lagi mengingatkan kita bahwa dalam bidang cryptocurrency yang berkembang pesat, keamanan selalu menjadi pertimbangan utama. Pengembang proyek tidak hanya harus memperhatikan fungsi produk dan pertumbuhan pengguna, tetapi juga harus membangun mekanisme keamanan yang kuat untuk mencegah berbagai ancaman yang mungkin terjadi.
Halaman ini mungkin berisi konten pihak ketiga, yang disediakan untuk tujuan informasi saja (bukan pernyataan/jaminan) dan tidak boleh dianggap sebagai dukungan terhadap pandangannya oleh Gate, atau sebagai nasihat keuangan atau profesional. Lihat Penafian untuk detailnya.
8 Suka
Hadiah
8
6
Posting ulang
Bagikan
Komentar
0/400
DegenWhisperer
· 08-10 05:57
Apakah ada pengkhianat yang tidak bisa ditangani? Sudah rug pull, kan?
Lihat AsliBalas0
BugBountyHunter
· 08-10 05:51
Tidak terhindarkan, mantan karyawan teman sekelompok babi?
Lihat AsliBalas0
GasFeeNightmare
· 08-10 05:44
Ada penyusup, tidak mungkin tidak dicuri.
Lihat AsliBalas0
MultiSigFailMaster
· 08-10 05:42
Karyawan yang sudah matang juga bisa bermain jebakan?
Proyek Pump diserang oleh mantan karyawan, dana sebesar 2 juta dolar AS dicuri.
Analisis Kejadian Pencurian Proyek Pump
Belakangan ini, proyek Pump mengalami sebuah insiden keamanan yang mengakibatkan kehilangan dana dalam jumlah besar. Artikel ini akan menganalisis secara mendalam penyebab, proses, dan dampak dari insiden ini.
Proses Serangan
Penyerang bukanlah peretas tingkat lanjut, tetapi kemungkinan besar adalah mantan karyawan proyek Pump. Dia memiliki dompet otorisasi yang digunakan Pump untuk membuat pasangan perdagangan di Raydium, yang kami sebut sebagai "akun target". Kolam likuiditas token yang dibuat di Pump namun belum memenuhi standar untuk diluncurkan di Raydium disebut sebagai "akun persiapan".
Penyerang pertama-tama mendapatkan pinjaman kilat dari suatu platform peminjaman, yang digunakan untuk memenuhi semua kolam token yang belum memenuhi syarat. Dalam keadaan normal, setelah kolam mencapai syarat, SOL yang ada di akun persiapan seharusnya ditransfer ke akun target. Namun, penyerang mencuri SOL yang ditransfer dalam proses ini, menyebabkan token-token tersebut tidak dapat diluncurkan sesuai jadwal di Raydium.
Analisis Korban
Serangan kali ini tidak mempengaruhi dana platform pinjaman, karena pinjaman kilat diselesaikan dalam blok yang sama. Token yang sudah diluncurkan di Raydium juga seharusnya tidak terpengaruh karena likuiditasnya telah terkunci.
Kerugian yang sebenarnya dialami oleh para investor di kolam Pump token yang belum terisi sebelum serangan terjadi. SOL yang mereka bayar saat membeli token dipindahkan oleh penyerang, ini juga menjelaskan mengapa jumlah kerugian begitu besar. Data terbaru menunjukkan bahwa kerugian aktual sekitar 2 juta dolar.
Ancaman Internal
Penyerang dapat memperoleh kunci pribadi dari akun target, yang mengungkapkan kelalaian serius pihak proyek dalam manajemen hak akses. Diperkirakan bahwa ini mungkin terkait dengan strategi operasional awal proyek.
Pada tahap awal proyek, untuk memulai dengan cepat dan menarik perhatian, Pump mungkin akan menunjuk beberapa karyawan untuk menggunakan dana proyek untuk mengisi kolam likuiditas token yang baru diterbitkan, sehingga token-token ini dapat diluncurkan di Raydium dan menciptakan ketertarikan. Praktik ini meskipun mungkin efektif dalam jangka pendek, tetapi pada akhirnya menjadi risiko keamanan.
Ringkasan Pelajaran
Manajemen akses sangat penting: Pihak proyek harus secara ketat mengendalikan akses ke akun kunci, secara berkala mengganti kunci, dan menerapkan mekanisme tanda tangan ganda.
Hati-hati dalam menangani likuiditas awal: Meskipun menyediakan likuiditas awal sangat penting untuk proyek baru, perlu dilakukan dengan cara yang lebih aman dan transparan, bukan hanya mengandalkan satu orang atau akun.
Audit kode sangat penting: bahkan untuk proyek sederhana, harus dilakukan audit keamanan yang komprehensif, terutama pada bagian kunci yang melibatkan aliran dana.
Mengatasi ancaman internal: Membangun proses pemecatan karyawan yang baik untuk memastikan semua hak akses mantan karyawan dicabut tepat waktu.
Transparansi adalah kunci: pihak proyek harus secara proaktif mengungkapkan arsitektur proyek dan langkah-langkah keamanan untuk meningkatkan kepercayaan pengguna.
Peristiwa ini sekali lagi mengingatkan kita bahwa dalam bidang cryptocurrency yang berkembang pesat, keamanan selalu menjadi pertimbangan utama. Pengembang proyek tidak hanya harus memperhatikan fungsi produk dan pertumbuhan pengguna, tetapi juga harus membangun mekanisme keamanan yang kuat untuk mencegah berbagai ancaman yang mungkin terjadi.