مؤخراً، تعرضت منصة Pump لثغرة في العقود الذكية، مما أدى إلى خسارة قدرها حوالي 2 مليون دولار. ستقوم هذه المقالة بتحليل تفصيلي لسير الأحداث، وأساليب الهجوم وتأثيرها.
تحليل عملية الهجوم
المهاجم ليس هاكر متقدم، بل من المحتمل أن يكون موظفًا سابقًا في Pump. لديه صلاحيات لمحفظة الوصول لإنشاء أزواج تداول الرموز على منصة تداول لامركزية معينة، ونسميها "حساب الثغرة". يتم تسمية حمولة السيولة للرموز التي لم تصل بعد إلى معايير الإدراج على Pump بـ"حساب الاحتياطي".
استفاد المهاجم أولاً من قرض سريع من منصة اقتراض معينة، لملء جميع أحواض السيولة للرموز التي لم تصل إلى معايير الإدراج. في الظروف العادية، عندما تصل الأحواض إلى معايير الإدراج، سيتم تحويل SOL من الحساب التحضيري إلى حساب الثغرة. ومع ذلك، سحب المهاجم SOL الذي تم تحويله خلال هذه العملية، مما أدى إلى عدم قدرة هذه الرموز على الإدراج في الوقت المحدد (بسبب نقص الأموال في الأحواض).
تحليل الضحايا
وفقًا للتحليل، كانت الضحايا بشكل رئيسي هم المستخدمون الذين قاموا بشراء رموز لم يتم ملء بركها بالكامل بعد على منصة Pump قبل وقوع الهجوم. تم نقل SOL الخاص بهؤلاء المستخدمين من خلال أسلوب الهجوم المذكور، وهذا يفسر أيضًا لماذا كانت قيمة الخسائر كبيرة جدًا.
من الجدير بالذكر أن الرموز التي تم إدراجها بنجاح لن تتأثر لأن السيولة قد تم قفلها. في الوقت نفسه، تم سداد أموال القرض الفوري ضمن نفس الكتلة، وبالتالي لم تتعرض منصة الإقراض لأي خسائر.
مناقشة أسباب الثغرات
كشفت هذه الحادثة عن وجود عيوب خطيرة في إدارة الأذونات على منصة Pump. يُعتقد أن المهاجمين قد يكونون مسؤولين عن ملء خزانات الرموز، مشابهة لاستراتيجيات صنع السوق التي تتخذها بعض المنصات في مراحلها المبكرة لخلق الضجيج.
قد تقوم منصة Pump بتفويض المهاجمين باستخدام أموال المشروع لملء برك الرموز المميزة التي تم إصدارها حديثًا (مثل $test و$alon) لتحقيق بدء تشغيل بارد، حتى تتمكن هذه الرموز من الإدراج وجذب الانتباه. ومع ذلك، أصبحت هذه الممارسة في النهاية مصدر تهديد أمني.
الدروس المستفادة
إدارة الأذونات أمر بالغ الأهمية: يجب على فريق المشروع التحكم بدقة في الأذونات الرئيسية، تحديث المفاتيح بانتظام، وتنفيذ تدابير الأمان مثل التوقيع المتعدد.
يجب توخي الحذر في استراتيجية السيولة الأولية: على الرغم من أن توفير دفعة أولية لمشروع جديد مهم، إلا أنه يجب إيجاد توازن بين الأمان والفعالية.
التدقيق على الشيفرة أمر لا غنى عنه: يجب إجراء تدقيق شامل للعقود الذكية بانتظام لاكتشاف وإصلاح الثغرات المحتملة في الوقت المناسب.
آلية الاستجابة الطارئة: إنشاء آلية استجابة سريعة، بحيث يمكن اتخاذ إجراءات سريعة عند حدوث حدث أمني، مما يقلل من الخسائر إلى الحد الأدنى.
الشفافية والتواصل: التواصل مع المجتمع بشكل timely وشفاف بعد حدوث الحدث، وشرح الوضع وتقديم الحلول، يساعد في الحفاظ على ثقة المستخدمين.
تذكرنا هذه الحادثة مرة أخرى بأن الأمان هو دائمًا الأولوية القصوى في مجال العملات المشفرة المتطور بسرعة. يحتاج المطورون إلى تحسين تدابير الأمان باستمرار، ويجب على المستخدمين أيضًا أن يظلوا يقظين وأن يتعاملوا بحذر مع جميع المشاريع الناشئة.
قد تحتوي هذه الصفحة على محتوى من جهات خارجية، يتم تقديمه لأغراض إعلامية فقط (وليس كإقرارات/ضمانات)، ولا ينبغي اعتباره موافقة على آرائه من قبل Gate، ولا بمثابة نصيحة مالية أو مهنية. انظر إلى إخلاء المسؤولية للحصول على التفاصيل.
ثغرة في Pumpالعقود الذكية أدت إلى خسارة 2 مليون دولار، وقد يكون موظف سابق متورطًا.
تحليل حادثة ثغرة العقود الذكية
مؤخراً، تعرضت منصة Pump لثغرة في العقود الذكية، مما أدى إلى خسارة قدرها حوالي 2 مليون دولار. ستقوم هذه المقالة بتحليل تفصيلي لسير الأحداث، وأساليب الهجوم وتأثيرها.
تحليل عملية الهجوم
المهاجم ليس هاكر متقدم، بل من المحتمل أن يكون موظفًا سابقًا في Pump. لديه صلاحيات لمحفظة الوصول لإنشاء أزواج تداول الرموز على منصة تداول لامركزية معينة، ونسميها "حساب الثغرة". يتم تسمية حمولة السيولة للرموز التي لم تصل بعد إلى معايير الإدراج على Pump بـ"حساب الاحتياطي".
استفاد المهاجم أولاً من قرض سريع من منصة اقتراض معينة، لملء جميع أحواض السيولة للرموز التي لم تصل إلى معايير الإدراج. في الظروف العادية، عندما تصل الأحواض إلى معايير الإدراج، سيتم تحويل SOL من الحساب التحضيري إلى حساب الثغرة. ومع ذلك، سحب المهاجم SOL الذي تم تحويله خلال هذه العملية، مما أدى إلى عدم قدرة هذه الرموز على الإدراج في الوقت المحدد (بسبب نقص الأموال في الأحواض).
تحليل الضحايا
وفقًا للتحليل، كانت الضحايا بشكل رئيسي هم المستخدمون الذين قاموا بشراء رموز لم يتم ملء بركها بالكامل بعد على منصة Pump قبل وقوع الهجوم. تم نقل SOL الخاص بهؤلاء المستخدمين من خلال أسلوب الهجوم المذكور، وهذا يفسر أيضًا لماذا كانت قيمة الخسائر كبيرة جدًا.
من الجدير بالذكر أن الرموز التي تم إدراجها بنجاح لن تتأثر لأن السيولة قد تم قفلها. في الوقت نفسه، تم سداد أموال القرض الفوري ضمن نفس الكتلة، وبالتالي لم تتعرض منصة الإقراض لأي خسائر.
مناقشة أسباب الثغرات
كشفت هذه الحادثة عن وجود عيوب خطيرة في إدارة الأذونات على منصة Pump. يُعتقد أن المهاجمين قد يكونون مسؤولين عن ملء خزانات الرموز، مشابهة لاستراتيجيات صنع السوق التي تتخذها بعض المنصات في مراحلها المبكرة لخلق الضجيج.
قد تقوم منصة Pump بتفويض المهاجمين باستخدام أموال المشروع لملء برك الرموز المميزة التي تم إصدارها حديثًا (مثل $test و$alon) لتحقيق بدء تشغيل بارد، حتى تتمكن هذه الرموز من الإدراج وجذب الانتباه. ومع ذلك، أصبحت هذه الممارسة في النهاية مصدر تهديد أمني.
الدروس المستفادة
إدارة الأذونات أمر بالغ الأهمية: يجب على فريق المشروع التحكم بدقة في الأذونات الرئيسية، تحديث المفاتيح بانتظام، وتنفيذ تدابير الأمان مثل التوقيع المتعدد.
يجب توخي الحذر في استراتيجية السيولة الأولية: على الرغم من أن توفير دفعة أولية لمشروع جديد مهم، إلا أنه يجب إيجاد توازن بين الأمان والفعالية.
التدقيق على الشيفرة أمر لا غنى عنه: يجب إجراء تدقيق شامل للعقود الذكية بانتظام لاكتشاف وإصلاح الثغرات المحتملة في الوقت المناسب.
آلية الاستجابة الطارئة: إنشاء آلية استجابة سريعة، بحيث يمكن اتخاذ إجراءات سريعة عند حدوث حدث أمني، مما يقلل من الخسائر إلى الحد الأدنى.
الشفافية والتواصل: التواصل مع المجتمع بشكل timely وشفاف بعد حدوث الحدث، وشرح الوضع وتقديم الحلول، يساعد في الحفاظ على ثقة المستخدمين.
تذكرنا هذه الحادثة مرة أخرى بأن الأمان هو دائمًا الأولوية القصوى في مجال العملات المشفرة المتطور بسرعة. يحتاج المطورون إلى تحسين تدابير الأمان باستمرار، ويجب على المستخدمين أيضًا أن يظلوا يقظين وأن يتعاملوا بحذر مع جميع المشاريع الناشئة.