Análise do incidente de vulnerabilidade dos contratos inteligentes Pump
Recentemente, a plataforma Pump enfrentou um incidente de vulnerabilidade em contratos inteligentes, resultando em uma perda de cerca de 2 milhões de dólares. Este artigo fará uma análise detalhada do desenrolar do evento, das técnicas de ataque e de seu impacto.
Análise do processo de ataque
Os atacantes não são hackers avançados, mas provavelmente ex-funcionários da Pump. Eles detêm a carteira de autoridade usada para criar pares de negociação de tokens em uma certa plataforma de negociação descentralizada, a qual chamamos de "conta com falha". Os pools de liquidez de tokens que ainda não atingiram os padrões de listagem na Pump são chamados de "conta de preparação".
O atacante primeiro obteve um empréstimo relâmpago de uma plataforma de empréstimos para preencher todas as piscinas de liquidez de tokens que não atendiam aos padrões de listagem. Normalmente, quando a piscina atinge os padrões de listagem, o SOL na conta de preparação é transferido para a conta vulnerável. No entanto, o atacante retirou o SOL transferido durante esse processo, fazendo com que esses tokens não pudessem ser listados a tempo (porque a piscina não tinha fundos suficientes).
Análise de vítimas
Segundo a análise, as vítimas foram principalmente usuários que, antes do ataque, já tinham comprado tokens que ainda não tinham preenchido completamente a piscina na plataforma Pump. Esses usuários tiveram seus SOL transferidos pela técnica de ataque mencionada, o que também explica por que o valor da perda foi tão grande.
É importante notar que os tokens que já foram listados com sucesso não deverão ser afetados, pois a liquidez já está bloqueada. Ao mesmo tempo, os fundos do empréstimo relâmpago foram devolvidos dentro do mesmo bloco, portanto, a plataforma de empréstimos também não sofreu perdas.
Discussão sobre as causas da vulnerabilidade
Este incidente expôs sérias falhas na gestão de permissões da plataforma Pump. Suspeita-se que o atacante pode ter sido responsável pelo preenchimento dos pools de tokens, semelhante a algumas estratégias de market making adotadas por plataformas em estágios iniciais para gerar entusiasmo.
A plataforma Pump pode, para realizar um arranque a frio, delegar a atacantes o uso de fundos do projeto para preencher a piscina de novos tokens emitidos (como $test, $alon, etc.), para que esses tokens possam ser listados e atrair atenção. No entanto, essa prática acabou por se tornar um risco de segurança.
Lições Aprendidas
A gestão de permissões é crucial: a equipe do projeto deve controlar rigorosamente as permissões-chave, atualizar as chaves regularmente e implementar medidas de segurança, como assinaturas múltiplas.
A estratégia de liquidez inicial deve ser cautelosa: embora seja importante fornecer um impulso inicial a novos projetos, é necessário encontrar um equilíbrio entre segurança e eficácia.
A auditoria de código é indispensável: realizar auditorias abrangentes de contratos inteligentes regularmente para identificar e corrigir rapidamente vulnerabilidades potenciais.
Mecanismo de resposta a emergências: estabelecer um mecanismo de resposta rápida, que permita agir rapidamente em caso de eventos de segurança, minimizando ao máximo as perdas.
Transparência e comunicação: Após o evento, comunicar-se de forma atempada e transparente com a comunidade, explicando a situação e propondo soluções, ajuda a manter a confiança dos usuários.
Este evento lembra-nos mais uma vez que, no setor das criptomoedas em rápida evolução, a segurança deve ser sempre a prioridade número um. Os promotores dos projetos precisam constantemente melhorar as medidas de segurança, e os usuários devem manter-se vigilantes e participar com cautela em vários novos projetos.
Esta página pode conter conteúdo de terceiros, que é fornecido apenas para fins informativos (não para representações/garantias) e não deve ser considerada como um endosso de suas opiniões pela Gate nem como aconselhamento financeiro ou profissional. Consulte a Isenção de responsabilidade para obter detalhes.
Vulnerabilidade de contratos inteligentes Pump causa perda de 2 milhões de dólares; ex-empregado pode estar envolvido.
Análise do incidente de vulnerabilidade dos contratos inteligentes Pump
Recentemente, a plataforma Pump enfrentou um incidente de vulnerabilidade em contratos inteligentes, resultando em uma perda de cerca de 2 milhões de dólares. Este artigo fará uma análise detalhada do desenrolar do evento, das técnicas de ataque e de seu impacto.
Análise do processo de ataque
Os atacantes não são hackers avançados, mas provavelmente ex-funcionários da Pump. Eles detêm a carteira de autoridade usada para criar pares de negociação de tokens em uma certa plataforma de negociação descentralizada, a qual chamamos de "conta com falha". Os pools de liquidez de tokens que ainda não atingiram os padrões de listagem na Pump são chamados de "conta de preparação".
O atacante primeiro obteve um empréstimo relâmpago de uma plataforma de empréstimos para preencher todas as piscinas de liquidez de tokens que não atendiam aos padrões de listagem. Normalmente, quando a piscina atinge os padrões de listagem, o SOL na conta de preparação é transferido para a conta vulnerável. No entanto, o atacante retirou o SOL transferido durante esse processo, fazendo com que esses tokens não pudessem ser listados a tempo (porque a piscina não tinha fundos suficientes).
Análise de vítimas
Segundo a análise, as vítimas foram principalmente usuários que, antes do ataque, já tinham comprado tokens que ainda não tinham preenchido completamente a piscina na plataforma Pump. Esses usuários tiveram seus SOL transferidos pela técnica de ataque mencionada, o que também explica por que o valor da perda foi tão grande.
É importante notar que os tokens que já foram listados com sucesso não deverão ser afetados, pois a liquidez já está bloqueada. Ao mesmo tempo, os fundos do empréstimo relâmpago foram devolvidos dentro do mesmo bloco, portanto, a plataforma de empréstimos também não sofreu perdas.
Discussão sobre as causas da vulnerabilidade
Este incidente expôs sérias falhas na gestão de permissões da plataforma Pump. Suspeita-se que o atacante pode ter sido responsável pelo preenchimento dos pools de tokens, semelhante a algumas estratégias de market making adotadas por plataformas em estágios iniciais para gerar entusiasmo.
A plataforma Pump pode, para realizar um arranque a frio, delegar a atacantes o uso de fundos do projeto para preencher a piscina de novos tokens emitidos (como $test, $alon, etc.), para que esses tokens possam ser listados e atrair atenção. No entanto, essa prática acabou por se tornar um risco de segurança.
Lições Aprendidas
A gestão de permissões é crucial: a equipe do projeto deve controlar rigorosamente as permissões-chave, atualizar as chaves regularmente e implementar medidas de segurança, como assinaturas múltiplas.
A estratégia de liquidez inicial deve ser cautelosa: embora seja importante fornecer um impulso inicial a novos projetos, é necessário encontrar um equilíbrio entre segurança e eficácia.
A auditoria de código é indispensável: realizar auditorias abrangentes de contratos inteligentes regularmente para identificar e corrigir rapidamente vulnerabilidades potenciais.
Mecanismo de resposta a emergências: estabelecer um mecanismo de resposta rápida, que permita agir rapidamente em caso de eventos de segurança, minimizando ao máximo as perdas.
Transparência e comunicação: Após o evento, comunicar-se de forma atempada e transparente com a comunidade, explicando a situação e propondo soluções, ajuda a manter a confiança dos usuários.
Este evento lembra-nos mais uma vez que, no setor das criptomoedas em rápida evolução, a segurança deve ser sempre a prioridade número um. Os promotores dos projetos precisam constantemente melhorar as medidas de segurança, e os usuários devem manter-se vigilantes e participar com cautela em vários novos projetos.