Анализ инцидента с уязвимостью Pump смарт-контрактов
В последнее время платформа Pump столкнулась с инцидентом уязвимости смарт-контрактов, что привело к убыткам примерно в 2 миллиона долларов. В этой статье будет проведен детальный анализ событий, методов атаки и их последствий.
Анализ процесса атаки
Атакующий не является высококвалифицированным хакером, а скорее бывшим сотрудником Pump. Он владеет кошельком с правами, используемыми для создания торговых пар токенов на определенной децентрализованной торговой платформе, который мы называем "уязвимым кошельком". Ликвидные пулы токенов, которые еще не соответствуют стандартам листинга на Pump, называются "резервными кошельками".
Атакующий сначала получил флеш-кредит с одной из платформ кредитования, чтобы заполнить все ликвидные пулы токенов, не соответствующих стандартам листинга. В нормальных условиях, когда пул достигает стандартов листинга, SOL из подготовительного счета будет переведен на уязвимый счет. Однако атакующий в этом процессе вывел переведенный SOL, что привело к тому, что эти токены не смогли быть выставлены на продажу в срок (из-за нехватки средств в пуле).
Анализ жертв
Согласно анализу, жертвами в основном стали пользователи, которые до атаки уже приобрели токены на платформе Pump, которые еще не были полностью заполнены в пуле. Эти SOL были украдены с использованием вышеупомянутого метода атаки, что также объясняет, почему сумма потерь оказалась такой большой.
Стоит отметить, что токены, которые уже успешно размещены, не должны пострадать, так как их ликвидность уже заблокирована. В то же время средства по флеш-кредитам были возвращены в пределах одного и того же блока, поэтому кредитные платформы также не понесли убытков.
Обсуждение причин уязвимости
Этот инцидент выявил серьезные недостатки в управлении правами доступа на платформе Pump. Предполагается, что злоумышленник, возможно, был ответственен за заполнение пула токенов, что похоже на стратегию маркетмейкинга, которую некоторые платформы использовали на ранних стадиях для создания ажиотажа.
Платформа Pump может для реализации холодного запуска поручить злоумышленникам использовать средства проекта для наполнения пула новых выпущенных токенов (таких как $test, $alon и т.д.), чтобы эти токены смогли выйти на рынок и привлечь внимание. Однако такая практика в конечном итоге становится угрозой безопасности.
Уроки и выводы
Управление доступом имеет решающее значение: проектная команда должна строго контролировать ключевые полномочия, регулярно обновлять ключи и внедрять такие меры безопасности, как многофакторная аутентификация.
Стратегию начальной ликвидности нужно применять осторожно: хотя предоставление начального импульса новым проектам очень важно, необходимо найти баланс между безопасностью и эффективностью.
Аудит кода необходим: регулярно проводите комплексный аудит смарт-контрактов, чтобы своевременно выявлять и исправлять потенциальные уязвимости.
Механизм экстренного реагирования: создать механизм быстрого реагирования, который позволит быстро принимать меры в случае безопасности, чтобы минимизировать потери.
Прозрачность и коммуникация: После происшествия своевременное и прозрачное общение с сообществом, объяснение ситуации и предложение мер по устранению проблемы помогает поддерживать доверие пользователей.
Это событие снова напоминает нам о том, что в быстро развивающейся области криптовалют безопасность всегда является первоочередной задачей. Проектные команды должны постоянно совершенствовать меры безопасности, а пользователи также должны сохранять бдительность и осторожно участвовать в различных новых проектах.
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
Уязвимость Pump смарт-контрактов привела к убыткам в 2 миллиона долларов. Бывший сотрудник может быть причастен к делу.
Анализ инцидента с уязвимостью Pump смарт-контрактов
В последнее время платформа Pump столкнулась с инцидентом уязвимости смарт-контрактов, что привело к убыткам примерно в 2 миллиона долларов. В этой статье будет проведен детальный анализ событий, методов атаки и их последствий.
Анализ процесса атаки
Атакующий не является высококвалифицированным хакером, а скорее бывшим сотрудником Pump. Он владеет кошельком с правами, используемыми для создания торговых пар токенов на определенной децентрализованной торговой платформе, который мы называем "уязвимым кошельком". Ликвидные пулы токенов, которые еще не соответствуют стандартам листинга на Pump, называются "резервными кошельками".
Атакующий сначала получил флеш-кредит с одной из платформ кредитования, чтобы заполнить все ликвидные пулы токенов, не соответствующих стандартам листинга. В нормальных условиях, когда пул достигает стандартов листинга, SOL из подготовительного счета будет переведен на уязвимый счет. Однако атакующий в этом процессе вывел переведенный SOL, что привело к тому, что эти токены не смогли быть выставлены на продажу в срок (из-за нехватки средств в пуле).
Анализ жертв
Согласно анализу, жертвами в основном стали пользователи, которые до атаки уже приобрели токены на платформе Pump, которые еще не были полностью заполнены в пуле. Эти SOL были украдены с использованием вышеупомянутого метода атаки, что также объясняет, почему сумма потерь оказалась такой большой.
Стоит отметить, что токены, которые уже успешно размещены, не должны пострадать, так как их ликвидность уже заблокирована. В то же время средства по флеш-кредитам были возвращены в пределах одного и того же блока, поэтому кредитные платформы также не понесли убытков.
Обсуждение причин уязвимости
Этот инцидент выявил серьезные недостатки в управлении правами доступа на платформе Pump. Предполагается, что злоумышленник, возможно, был ответственен за заполнение пула токенов, что похоже на стратегию маркетмейкинга, которую некоторые платформы использовали на ранних стадиях для создания ажиотажа.
Платформа Pump может для реализации холодного запуска поручить злоумышленникам использовать средства проекта для наполнения пула новых выпущенных токенов (таких как $test, $alon и т.д.), чтобы эти токены смогли выйти на рынок и привлечь внимание. Однако такая практика в конечном итоге становится угрозой безопасности.
Уроки и выводы
Управление доступом имеет решающее значение: проектная команда должна строго контролировать ключевые полномочия, регулярно обновлять ключи и внедрять такие меры безопасности, как многофакторная аутентификация.
Стратегию начальной ликвидности нужно применять осторожно: хотя предоставление начального импульса новым проектам очень важно, необходимо найти баланс между безопасностью и эффективностью.
Аудит кода необходим: регулярно проводите комплексный аудит смарт-контрактов, чтобы своевременно выявлять и исправлять потенциальные уязвимости.
Механизм экстренного реагирования: создать механизм быстрого реагирования, который позволит быстро принимать меры в случае безопасности, чтобы минимизировать потери.
Прозрачность и коммуникация: После происшествия своевременное и прозрачное общение с сообществом, объяснение ситуации и предложение мер по устранению проблемы помогает поддерживать доверие пользователей.
Это событие снова напоминает нам о том, что в быстро развивающейся области криптовалют безопасность всегда является первоочередной задачей. Проектные команды должны постоянно совершенствовать меры безопасности, а пользователи также должны сохранять бдительность и осторожно участвовать в различных новых проектах.