Нещодавно проект Pump зазнав інциденту безпеки, що призвело до значних фінансових втрат. У цій статті буде проведено глибокий аналіз причин, процесу та наслідків цього інциденту.
Процес атаки
Зловмисник, ймовірно, не є висококласним хакером, а скоріше колишнім співробітником проекту Pump. Він має доступ до гаманця з правами, які використовуються для створення торгових пар на Raydium, який ми називаємо "цільовим рахунком". Ліквідні пул токенів, створених на Pump, але ще не готових до запуску на Raydium, називаються "підготовчими рахунками".
Атакуюча сторона спочатку отримала миттєвий кредит з певної кредитної платформи для заповнення всіх токенів пулу, які ще не досягли стандарту. У нормальних умовах, коли пул досягає стандарту, SOL з підготовчого рахунку має бути переведений на цільовий рахунок. Проте, під час цього процесу атакуюча сторона вивела переведений SOL, що призвело до того, що ці токени не змогли бути запущені на Raydium у запланований термін.
Аналіз жертв
Цей напад не вплинув на кошти кредитної платформи, оскільки миттєвий кредит був повернутий в межах одного блоку. Токени, які вже запущені на Raydium, також не повинні постраждати, оскільки ліквідність вже заблокована.
Справжніми втратами стали інвестори в пулі Pump токенів, які ще не були заповнені до моменту нападу. SOL, який вони сплатили за токени, був виведений нападниками, що також пояснює, чому сума втрат така велика. Останні дані показують, що фактичні втрати становлять близько 2 мільйонів доларів.
Внутрішні загрози
Зловмисники змогли отримати приватний ключ цільового облікового запису, що вказує на серйозну недбалість з боку команди проекту в управлінні правами. Передбачається, що це може бути пов'язано з ранньою стратегією роботи проекту.
На початкових етапах проекту, щоб швидко запуститися і привернути увагу, Pump може призначити деяких співробітників відповідальними за використання коштів проекту для заповнення ліквідності нововипущених токенів, щоб ці токени могли з'явитися на Raydium і створити ажіотаж. Хоча цей підхід може бути ефективним у короткостроковій перспективі, врешті-решт він став загрозою безпеці.
Підсумки уроків
Управління доступом є надзвичайно важливим: команда проекту повинна суворо контролювати доступ до ключових облікових записів, регулярно змінювати ключі та впроваджувати механізм багатопідпису.
Обережно ставтеся до початкової ліквідності: хоча надання початкової ліквідності є важливим для нових проектів, потрібно використовувати більш безпечні та прозорі методи, а не покладатися на одну людину або рахунок.
Код аудит є необхідним: навіть для простих проектів слід проводити всебічний аудит безпеки, особливо в ключових частинах, що стосуються фінансових потоків.
Реакція на внутрішні загрози: створити вдосконалений процес виходу співробітників, щоб своєчасно відкликати всі права доступу колишніх співробітників.
Прозорість є ключовою: команда проекту повинна активно розкривати архітектуру проекту та заходи безпеки, щоб підвищити довіру користувачів.
Ця подія ще раз нагадує нам, що в швидко розвивається сфері криптовалют безпека завжди є пріоритетом. Команди проектів повинні не лише звертати увагу на функціональність продукту та зростання користувачів, але й встановлювати надійні механізми безпеки для запобігання різним можливим загрозам.
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
8 лайків
Нагородити
8
7
Репост
Поділіться
Прокоментувати
0/400
governance_ghost
· 1год тому
Зрадник дійсно професійно вдарив у спину.
Переглянути оригіналвідповісти на0
DegenWhisperer
· 08-10 05:57
Внутрішній злочинець навіть не впорався? Шахрайство?
Переглянути оригіналвідповісти на0
BugBountyHunter
· 08-10 05:51
Неочікуваний удар з боку колишнього співробітника?
Переглянути оригіналвідповісти на0
GasFeeNightmare
· 08-10 05:44
Шпигун? Можна не бути вкраденим?
Переглянути оригіналвідповісти на0
MultiSigFailMaster
· 08-10 05:42
Смажені співробітники також можуть грати в пастки?
Проект Pump зазнав нападу від колишніх працівників, 2 мільйони доларів були вкрадені.
Аналіз інциденту з крадіжкою проекту Pump
Нещодавно проект Pump зазнав інциденту безпеки, що призвело до значних фінансових втрат. У цій статті буде проведено глибокий аналіз причин, процесу та наслідків цього інциденту.
Процес атаки
Зловмисник, ймовірно, не є висококласним хакером, а скоріше колишнім співробітником проекту Pump. Він має доступ до гаманця з правами, які використовуються для створення торгових пар на Raydium, який ми називаємо "цільовим рахунком". Ліквідні пул токенів, створених на Pump, але ще не готових до запуску на Raydium, називаються "підготовчими рахунками".
Атакуюча сторона спочатку отримала миттєвий кредит з певної кредитної платформи для заповнення всіх токенів пулу, які ще не досягли стандарту. У нормальних умовах, коли пул досягає стандарту, SOL з підготовчого рахунку має бути переведений на цільовий рахунок. Проте, під час цього процесу атакуюча сторона вивела переведений SOL, що призвело до того, що ці токени не змогли бути запущені на Raydium у запланований термін.
Аналіз жертв
Цей напад не вплинув на кошти кредитної платформи, оскільки миттєвий кредит був повернутий в межах одного блоку. Токени, які вже запущені на Raydium, також не повинні постраждати, оскільки ліквідність вже заблокована.
Справжніми втратами стали інвестори в пулі Pump токенів, які ще не були заповнені до моменту нападу. SOL, який вони сплатили за токени, був виведений нападниками, що також пояснює, чому сума втрат така велика. Останні дані показують, що фактичні втрати становлять близько 2 мільйонів доларів.
Внутрішні загрози
Зловмисники змогли отримати приватний ключ цільового облікового запису, що вказує на серйозну недбалість з боку команди проекту в управлінні правами. Передбачається, що це може бути пов'язано з ранньою стратегією роботи проекту.
На початкових етапах проекту, щоб швидко запуститися і привернути увагу, Pump може призначити деяких співробітників відповідальними за використання коштів проекту для заповнення ліквідності нововипущених токенів, щоб ці токени могли з'явитися на Raydium і створити ажіотаж. Хоча цей підхід може бути ефективним у короткостроковій перспективі, врешті-решт він став загрозою безпеці.
Підсумки уроків
Управління доступом є надзвичайно важливим: команда проекту повинна суворо контролювати доступ до ключових облікових записів, регулярно змінювати ключі та впроваджувати механізм багатопідпису.
Обережно ставтеся до початкової ліквідності: хоча надання початкової ліквідності є важливим для нових проектів, потрібно використовувати більш безпечні та прозорі методи, а не покладатися на одну людину або рахунок.
Код аудит є необхідним: навіть для простих проектів слід проводити всебічний аудит безпеки, особливо в ключових частинах, що стосуються фінансових потоків.
Реакція на внутрішні загрози: створити вдосконалений процес виходу співробітників, щоб своєчасно відкликати всі права доступу колишніх співробітників.
Прозорість є ключовою: команда проекту повинна активно розкривати архітектуру проекту та заходи безпеки, щоб підвищити довіру користувачів.
Ця подія ще раз нагадує нам, що в швидко розвивається сфері криптовалют безпека завжди є пріоритетом. Команди проектів повинні не лише звертати увагу на функціональність продукту та зростання користувачів, але й встановлювати надійні механізми безпеки для запобігання різним можливим загрозам.