Нещодавно платформа Pump зазнала атаки хакера, що призвело до значних втрат. У цій статті буде проведено глибокий аналіз процесу атаки, обсягу постраждалих та можливих причин.
Аналіз методів атаки
Цей інцидент стався не завдяки висококласному Хакеру, а, ймовірно, колишньому співробітнику платформи Pump. Атакуючий отримав доступ до приватного ключа одного з ключових гаманців, який має право створювати торгові пари токенів на певній децентралізованій біржі. Ми будемо називати цей гаманець "атакований гаманець".
Зловмисник спочатку отримав позичку у вигляді швидкого кредиту на платформі кредитування, використавши ці кошти для заповнення всіх пулів токенів, які ще не досягли стандартів. У нормальних умовах, коли пули досягають стандарту, токени SOL, які спочатку знаходилися в "резервному рахунку", повинні були бути переведені на "рахунок, що піддається атаці". Однак зловмисник перехопив переведені токени SOL, що призвело до того, що ці токени, які мали бути запущені та заблоковані в ліквідності, не змогли запуститися у встановлений термін.
Аналіз жертв
Варто зазначити, що платформа миттєвих кредитів не зазнала втрат, оскільки миттєві кредити були повернені в межах одного блоку. Крім того, токен-проекти, які вже вийшли на децентралізовану біржу і заблокували ліквідність, також, ймовірно, не зазнали впливу.
Справжніми потерпілими є ті користувачі, які купили токени в басейні, який ще не був повністю заповнений, до того як сталася атака. Їхні вкладені токени SOL були вкрадені зловмисниками, що також пояснює, чому початково оцінені збитки сягали 80 мільйонів доларів (хоча останні дані показують, що фактичні збитки становлять близько 2 мільйонів доларів).
Дослідження причин вразливостей
Очевидно, ця подія виявила серйозні недоліки команди Pump у управлінні правами доступу. Ми можемо припустити, що контроль за наповненням пулу, можливо, був одним з обов'язків зловмисника.
Порівняно з підходами інших проєктів, як, наприклад, деяка соціальна платформа на початку могла використовувати офіційних роботів для імітації активності торгівлі, ми можемо сміливо припустити, що Pump, щоб реалізувати холодний старт, можливо, доручив хакерам використати кошти проєкту для заповнення пулу нововиданих токенів (думаю, в більшості випадків це токени, випущені самими розробниками проєкту), мета полягала в тому, щоб ці токени могли безперешкодно вийти на ринок і створити ажіотаж. На жаль, ця стратегія врешті-решт стала джерелом загрози безпеці.
Уроки та досвід
Для команд, які хочуть скопіювати успішні моделі проектів, недостатньо просто імітувати зовнішні аспекти. Щоб залучити користувачів до торгівлі, також потрібно надати початковий стимул.
Проектна команда повинна приділяти особливу увагу управлінню правами та заходам безпеки. Розумний розподіл прав, регулярний перегляд і оновлення політики безпеки є ключовими для забезпечення безпечної роботи проекту.
Під час проведення інноваційних спроб необхідно всебічно враховувати потенційні ризики та створити досконалу систему контролю ризиків.
Користувачі повинні бути обережними, беручи участь у нових проектах, повністю розуміти ризики проекту та уникати сліпого наслідування.
Ця подія ще раз нагадує нам, що в швидко розвивається сфері криптовалют безпека завжди є пріоритетним фактором. Незалежно від того, чи це проект чи учасники, усі повинні постійно бути на чеку та спільно підтримувати здоровий розвиток екосистеми.
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
12 лайків
Нагородити
12
9
Поділіться
Прокоментувати
0/400
PrivateKeyParanoia
· 19хв. тому
Знову внутрішній зрадник створює проблеми
Переглянути оригіналвідповісти на0
AirdropGrandpa
· 22год тому
Що б не робив, все йде не так, геть цей поганий проєкт.
Переглянути оригіналвідповісти на0
CryptoSurvivor
· 08-02 17:56
Ого, зрадник всередині?
Переглянути оригіналвідповісти на0
rugpull_ptsd
· 08-02 17:54
Дійсно, це внутрішній зрадник, який б'є внутрішнього зрадника.
Переглянути оригіналвідповісти на0
ParallelChainMaxi
· 08-02 17:54
Відходити з роботи і влаштовувати сцени - це шоу, яке ніколи не закінчиться.
Переглянути оригіналвідповісти на0
FUDwatcher
· 08-02 17:52
Колишні співробітники занадто жорстко вплинули на ситуацію.
Переглянути оригіналвідповісти на0
PessimisticOracle
· 08-02 17:50
Колишні співробітники занадто жорстко діяли.
Переглянути оригіналвідповісти на0
ImpermanentPhilosopher
· 08-02 17:44
Всього лише погасив борги, а тут мене зрадив колишній колега.
Переглянути оригіналвідповісти на0
ToMakeALotOfMoney
· 08-02 17:43
Невдовзі Дональд Трамп пройшов повз авіаносець Форд.
Pumpплатформа遭Хакер攻击 前员工滥用权限造成200万美元损失
Аналіз події атаки хакерів на Pump
Нещодавно платформа Pump зазнала атаки хакера, що призвело до значних втрат. У цій статті буде проведено глибокий аналіз процесу атаки, обсягу постраждалих та можливих причин.
Аналіз методів атаки
Цей інцидент стався не завдяки висококласному Хакеру, а, ймовірно, колишньому співробітнику платформи Pump. Атакуючий отримав доступ до приватного ключа одного з ключових гаманців, який має право створювати торгові пари токенів на певній децентралізованій біржі. Ми будемо називати цей гаманець "атакований гаманець".
Зловмисник спочатку отримав позичку у вигляді швидкого кредиту на платформі кредитування, використавши ці кошти для заповнення всіх пулів токенів, які ще не досягли стандартів. У нормальних умовах, коли пули досягають стандарту, токени SOL, які спочатку знаходилися в "резервному рахунку", повинні були бути переведені на "рахунок, що піддається атаці". Однак зловмисник перехопив переведені токени SOL, що призвело до того, що ці токени, які мали бути запущені та заблоковані в ліквідності, не змогли запуститися у встановлений термін.
Аналіз жертв
Варто зазначити, що платформа миттєвих кредитів не зазнала втрат, оскільки миттєві кредити були повернені в межах одного блоку. Крім того, токен-проекти, які вже вийшли на децентралізовану біржу і заблокували ліквідність, також, ймовірно, не зазнали впливу.
Справжніми потерпілими є ті користувачі, які купили токени в басейні, який ще не був повністю заповнений, до того як сталася атака. Їхні вкладені токени SOL були вкрадені зловмисниками, що також пояснює, чому початково оцінені збитки сягали 80 мільйонів доларів (хоча останні дані показують, що фактичні збитки становлять близько 2 мільйонів доларів).
Дослідження причин вразливостей
Очевидно, ця подія виявила серйозні недоліки команди Pump у управлінні правами доступу. Ми можемо припустити, що контроль за наповненням пулу, можливо, був одним з обов'язків зловмисника.
Порівняно з підходами інших проєктів, як, наприклад, деяка соціальна платформа на початку могла використовувати офіційних роботів для імітації активності торгівлі, ми можемо сміливо припустити, що Pump, щоб реалізувати холодний старт, можливо, доручив хакерам використати кошти проєкту для заповнення пулу нововиданих токенів (думаю, в більшості випадків це токени, випущені самими розробниками проєкту), мета полягала в тому, щоб ці токени могли безперешкодно вийти на ринок і створити ажіотаж. На жаль, ця стратегія врешті-решт стала джерелом загрози безпеці.
Уроки та досвід
Для команд, які хочуть скопіювати успішні моделі проектів, недостатньо просто імітувати зовнішні аспекти. Щоб залучити користувачів до торгівлі, також потрібно надати початковий стимул.
Проектна команда повинна приділяти особливу увагу управлінню правами та заходам безпеки. Розумний розподіл прав, регулярний перегляд і оновлення політики безпеки є ключовими для забезпечення безпечної роботи проекту.
Під час проведення інноваційних спроб необхідно всебічно враховувати потенційні ризики та створити досконалу систему контролю ризиків.
Користувачі повинні бути обережними, беручи участь у нових проектах, повністю розуміти ризики проекту та уникати сліпого наслідування.
Ця подія ще раз нагадує нам, що в швидко розвивається сфері криптовалют безпека завжди є пріоритетним фактором. Незалежно від того, чи це проект чи учасники, усі повинні постійно бути на чеку та спільно підтримувати здоровий розвиток екосистеми.