Нещодавно в проекті Pump сталася безпекова подія, яка призвела до значних втрат коштів. У цій статті буде проведено глибокий аналіз причин, впливу та відповідних уроків з цього інциденту.
Детальний опис процесу атаки
Цей напад не був здійснений висококласними хакерами, а, швидше за все, колишніми співробітниками проекту Pump. Зловмисник отримав доступ до гаманця з правами для створення торгових пар на Raydium, який ми називаємо "атакованим рахунком". Водночас усі LP резерви Bonding Curve на Pump, які ще не досягли стандартів для виходу на Raydium, називаються "підготовчими рахунками".
Атакуючий спочатку взяв у борг кошти через флеш-кредит, щоб заповнити всі пули, які не досягли стандарту Raydium. У нормальних умовах, коли пул досягає стандарту, SOL з підготовчого рахунку має бути переведено на рахунок, що атакують. Однак атакуючий у цьому процесі витягнув переведений SOL, що призвело до того, що токени, які мали бути запущені на Raydium і заблоковані в ліквідності, не змогли запуститися вчасно.
Аналіз жертв
Згідно з аналізом, атака в основному торкнулася таких груп:
Перед атакою всі користувачі в Pump-басейнах, які ще не були заповнені. SOL, придбаний цими користувачами, був виведений, що призвело до великих втрат.
Токен-проекти, які вже запущені на Raydium, не повинні бути під впливом, оскільки їхня ліквідність вже заблокована.
Платформи, що надають闪电贷, не понесли збитків, оскільки позика була повернена в одному й тому ж блоці.
Обговорення причин атаки
Ця подія сталася головним чином через управлінську недбалість команди проекту. Атакуючий, ймовірно, відповідав за заповнення токенів у пулі, подібно до того, як деякі проекти на початку проводять ринкові операції для створення хайпу.
Припускається, що проект Pump міг уповноважити зловмисників використовувати кошти проекту для заповнення пулу нових випущених токенів, щоб реалізувати холодний старт проекту та привернути увагу. Цей підхід зрештою став джерелом безпекової вразливості.
Уроки та висновки
Ринкова стратегія на етапі старту проекту: просто імітувати зовнішні форми інших проектів недостатньо. Новий проект повинен розробити розумну початкову стратегію просування, а не просто покладатися на спонтанну участь користувачів.
Важливість управління правами: суворе управління правами та заходи безпеки є критично важливими для довгострокової стабільності проекту. Налаштування прав слід регулярно перевіряти та оновлювати, особливо після звільнення співробітників.
Необхідність аудиту коду: регулярне проведення всебічного аудиту коду для своєчасного виявлення та усунення потенційних вразливостей безпеки.
Підготовка плану надзвичайних ситуацій: розробити вдосконалений план реагування на надзвичайні ситуації, щоб мати можливість швидко і ефективно вжити заходів у разі виникнення безпекових подій, щоб мінімізувати втрати.
Прозорість комунікації з громадою: своєчасне та прозоре спілкування з громадою після виникнення безпекових інцидентів допомагає підтримувати довіру користувачів та репутацію проєкту.
Ця подія знову підкреслює важливість безпеки та управління ризиками в сфері блокчейн та криптовалют. Проектні команди повинні у прагненні до інновацій завжди ставити безпеку активів користувачів на перше місце.
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
12 лайків
Нагородити
12
10
Поділіться
Прокоментувати
0/400
WhaleWatcher
· 20хв. тому
Ще один, кого знищив зрадник.
Переглянути оригіналвідповісти на0
JustAnotherWallet
· 17год тому
Ще одна стара пастка внутрішнього ринку
Переглянути оригіналвідповісти на0
AirdropBuffet
· 07-20 23:55
вечірка проєкту всі є котом Шредінгера в шахрайстві
Переглянути оригіналвідповісти на0
MetaMisery
· 07-20 01:44
Знову внутрішній зрадник?
Переглянути оригіналвідповісти на0
tokenomics_truther
· 07-19 23:03
Типовий внутрішній злочин Хе-хе
Переглянути оригіналвідповісти на0
ProbablyNothing
· 07-19 23:02
роки невдахи
Переглянути оригіналвідповісти на0
LadderToolGuy
· 07-19 23:00
Внутрішній зрадник – це той, кого неможливо зупинити.
Переглянути оригіналвідповісти на0
tx_pending_forever
· 07-19 22:52
Знову обдурювати людей, як лохів і втекти
Переглянути оригіналвідповісти на0
MetaverseLandlady
· 07-19 22:52
Ой, код потрібно покращити управління.
Переглянути оригіналвідповісти на0
StablecoinArbitrageur
· 07-19 22:49
*коригує окуляри* аматорська безпека... впевнений, їхній коефіцієнт Шарпа також був негативним
Аналіз інциденту безпеки проекту Pump: помилка внутрішнього персоналу призвела до значних втрат коштів
Аналіз безпекових інцидентів проекту Pump
Нещодавно в проекті Pump сталася безпекова подія, яка призвела до значних втрат коштів. У цій статті буде проведено глибокий аналіз причин, впливу та відповідних уроків з цього інциденту.
Детальний опис процесу атаки
Цей напад не був здійснений висококласними хакерами, а, швидше за все, колишніми співробітниками проекту Pump. Зловмисник отримав доступ до гаманця з правами для створення торгових пар на Raydium, який ми називаємо "атакованим рахунком". Водночас усі LP резерви Bonding Curve на Pump, які ще не досягли стандартів для виходу на Raydium, називаються "підготовчими рахунками".
Атакуючий спочатку взяв у борг кошти через флеш-кредит, щоб заповнити всі пули, які не досягли стандарту Raydium. У нормальних умовах, коли пул досягає стандарту, SOL з підготовчого рахунку має бути переведено на рахунок, що атакують. Однак атакуючий у цьому процесі витягнув переведений SOL, що призвело до того, що токени, які мали бути запущені на Raydium і заблоковані в ліквідності, не змогли запуститися вчасно.
Аналіз жертв
Згідно з аналізом, атака в основному торкнулася таких груп:
Перед атакою всі користувачі в Pump-басейнах, які ще не були заповнені. SOL, придбаний цими користувачами, був виведений, що призвело до великих втрат.
Токен-проекти, які вже запущені на Raydium, не повинні бути під впливом, оскільки їхня ліквідність вже заблокована.
Платформи, що надають闪电贷, не понесли збитків, оскільки позика була повернена в одному й тому ж блоці.
Обговорення причин атаки
Ця подія сталася головним чином через управлінську недбалість команди проекту. Атакуючий, ймовірно, відповідав за заповнення токенів у пулі, подібно до того, як деякі проекти на початку проводять ринкові операції для створення хайпу.
Припускається, що проект Pump міг уповноважити зловмисників використовувати кошти проекту для заповнення пулу нових випущених токенів, щоб реалізувати холодний старт проекту та привернути увагу. Цей підхід зрештою став джерелом безпекової вразливості.
Уроки та висновки
Ринкова стратегія на етапі старту проекту: просто імітувати зовнішні форми інших проектів недостатньо. Новий проект повинен розробити розумну початкову стратегію просування, а не просто покладатися на спонтанну участь користувачів.
Важливість управління правами: суворе управління правами та заходи безпеки є критично важливими для довгострокової стабільності проекту. Налаштування прав слід регулярно перевіряти та оновлювати, особливо після звільнення співробітників.
Необхідність аудиту коду: регулярне проведення всебічного аудиту коду для своєчасного виявлення та усунення потенційних вразливостей безпеки.
Підготовка плану надзвичайних ситуацій: розробити вдосконалений план реагування на надзвичайні ситуації, щоб мати можливість швидко і ефективно вжити заходів у разі виникнення безпекових подій, щоб мінімізувати втрати.
Прозорість комунікації з громадою: своєчасне та прозоре спілкування з громадою після виникнення безпекових інцидентів допомагає підтримувати довіру користувачів та репутацію проєкту.
Ця подія знову підкреслює важливість безпеки та управління ризиками в сфері блокчейн та криптовалют. Проектні команди повинні у прагненні до інновацій завжди ставити безпеку активів користувачів на перше місце.