Нещодавно платформа Pump зазнала атаки через вразливість смартконтракту, внаслідок чого було втрачено близько 2 мільйонів доларів. У цій статті буде детально проаналізовано хід подій, методи атаки та їхній вплив.
Аналіз процесу атаки
Атакуюча сторона не є висококласним хакером, а, можливо, колишнім працівником Pump. Він має доступ до гаманця з правами, що використовуються для створення торгових пар токенів на певній децентралізованій торговій платформі, який ми називаємо "вразливим рахунком". Ліквідність токенів, які ще не досягли стандартів для розміщення на Pump, називається "підготовчий рахунок".
Зловмисник спочатку отримав闪电贷 з певної платформи кредитування, щоб заповнити всі ліквідні пулі токенів, які не досягли стандарту розміщення. У нормальних умовах, коли пул досягає стандарту розміщення, SOL з підготовчого рахунку має бути переведено на рахунок з вразливістю. Проте зловмисник у цьому процесі вивів переведений SOL, що призвело до того, що ці токени не змогли бути розміщені вчасно (оскільки в пулі недостатньо коштів).
Аналіз жертв
Згідно з аналізом, жертви в основному є користувачами, які купили токени, які ще не заповнили пул, на платформі Pump перед нападом. Ці користувачі втратили свої SOL через зазначений вище метод атаки, що пояснює, чому сума збитків є такою великою.
Варто зазначити, що токени, які вже успішно виведені на ринок, не повинні зазнати впливу, оскільки ліквідність вже заблокована. Одночасно, кошти з миттєвих кредитів були повернені в тому ж блоці, тому платформи позик також не зазнали втрат.
Обговорення причин вразливостей
Ця подія виявила серйозні недоліки в управлінні правами на платформі Pump. Вважається, що зловмисники, можливо, були відповідальні за заповнення токенів у пулі, подібно до деяких платформ, які на ранніх етапах використовували маркетингові стратегії для створення популярності.
Платформа Pump може делегувати зловмисникам використання коштів проекту для заповнення пулів нововипущених токенів (наприклад, $test, $alon тощо), щоб ці токени могли бути виставлені на продаж і привернути увагу. Однак ця практика в кінцевому підсумку стала загрозою безпеці.
Уроки та висновки
Управління доступом має вирішальне значення: команда проекту повинна суворо контролювати ключові права, регулярно оновлювати ключі та впроваджувати такі заходи безпеки, як багатопідпис.
Початкова стратегія ліквідності має бути обережною: хоча важливо надати початковий імпульс новим проектам, необхідно знайти баланс між безпекою та ефективністю.
Аудит коду є невід'ємним: регулярно проводьте всебічний аудит смартконтрактів, щоб вчасно виявляти та усувати потенційні вразливості.
Механізм реагування на надзвичайні ситуації: створення швидкого механізму реагування, який дозволяє швидко вжити заходів у разі виникнення безпекових інцидентів, щоб звести до мінімуму втрати.
Прозорість і комунікація: Після події своєчасно та прозоро спілкуйтеся з громадою, пояснюючи ситуацію та пропонуючи заходи для виправлення. Це допомагає підтримувати довіру користувачів.
Ця подія знову нагадує нам, що в швидко розвивається світі криптовалют безпека завжди є найважливішим. Проектні команди повинні постійно вдосконалювати заходи безпеки, а користувачі також повинні залишатися насторожі та обережно брати участь у різних нових проектах.
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
Вразливість Pump смартконтракти призвела до збитків у 2 мільйони доларів, колишній співробітник може бути причетний.
Аналіз події з вразливістю Pump смартконтрактів
Нещодавно платформа Pump зазнала атаки через вразливість смартконтракту, внаслідок чого було втрачено близько 2 мільйонів доларів. У цій статті буде детально проаналізовано хід подій, методи атаки та їхній вплив.
Аналіз процесу атаки
Атакуюча сторона не є висококласним хакером, а, можливо, колишнім працівником Pump. Він має доступ до гаманця з правами, що використовуються для створення торгових пар токенів на певній децентралізованій торговій платформі, який ми називаємо "вразливим рахунком". Ліквідність токенів, які ще не досягли стандартів для розміщення на Pump, називається "підготовчий рахунок".
Зловмисник спочатку отримав闪电贷 з певної платформи кредитування, щоб заповнити всі ліквідні пулі токенів, які не досягли стандарту розміщення. У нормальних умовах, коли пул досягає стандарту розміщення, SOL з підготовчого рахунку має бути переведено на рахунок з вразливістю. Проте зловмисник у цьому процесі вивів переведений SOL, що призвело до того, що ці токени не змогли бути розміщені вчасно (оскільки в пулі недостатньо коштів).
Аналіз жертв
Згідно з аналізом, жертви в основному є користувачами, які купили токени, які ще не заповнили пул, на платформі Pump перед нападом. Ці користувачі втратили свої SOL через зазначений вище метод атаки, що пояснює, чому сума збитків є такою великою.
Варто зазначити, що токени, які вже успішно виведені на ринок, не повинні зазнати впливу, оскільки ліквідність вже заблокована. Одночасно, кошти з миттєвих кредитів були повернені в тому ж блоці, тому платформи позик також не зазнали втрат.
Обговорення причин вразливостей
Ця подія виявила серйозні недоліки в управлінні правами на платформі Pump. Вважається, що зловмисники, можливо, були відповідальні за заповнення токенів у пулі, подібно до деяких платформ, які на ранніх етапах використовували маркетингові стратегії для створення популярності.
Платформа Pump може делегувати зловмисникам використання коштів проекту для заповнення пулів нововипущених токенів (наприклад, $test, $alon тощо), щоб ці токени могли бути виставлені на продаж і привернути увагу. Однак ця практика в кінцевому підсумку стала загрозою безпеці.
Уроки та висновки
Управління доступом має вирішальне значення: команда проекту повинна суворо контролювати ключові права, регулярно оновлювати ключі та впроваджувати такі заходи безпеки, як багатопідпис.
Початкова стратегія ліквідності має бути обережною: хоча важливо надати початковий імпульс новим проектам, необхідно знайти баланс між безпекою та ефективністю.
Аудит коду є невід'ємним: регулярно проводьте всебічний аудит смартконтрактів, щоб вчасно виявляти та усувати потенційні вразливості.
Механізм реагування на надзвичайні ситуації: створення швидкого механізму реагування, який дозволяє швидко вжити заходів у разі виникнення безпекових інцидентів, щоб звести до мінімуму втрати.
Прозорість і комунікація: Після події своєчасно та прозоро спілкуйтеся з громадою, пояснюючи ситуацію та пропонуючи заходи для виправлення. Це допомагає підтримувати довіру користувачів.
Ця подія знову нагадує нам, що в швидко розвивається світі криптовалют безпека завжди є найважливішим. Проектні команди повинні постійно вдосконалювати заходи безпеки, а користувачі також повинні залишатися насторожі та обережно брати участь у різних нових проектах.