Pump a subi un vol : des employés internes ont abusé de leurs droits, entraînant une perte de fonds
Récemment, un vol impliquant la plateforme Pump a suscité une large attention au sein de la communauté des cryptomonnaies. Cet article analysera en détail les tenants et aboutissants de cet événement.
Analyse des méthodes d'attaque
Cette attaque n'a pas été menée par des hackers sophistiqués, mais est très probablement l'œuvre d'un ancien employé de Pump. L'attaquant a obtenu les droits de portefeuille nécessaires pour créer des paires de trading de jetons sur un certain DEX. Dans l'attaque, ce compte est appelé "compte compromis", tandis que le pool de liquidité des jetons qui n'a pas encore atteint les normes de mise en ligne est appelé "compte préparatoire".
L'attaquant a rapidement rempli tous les pools qui n'atteignaient pas les normes de mise en ligne en utilisant un prêt éclair. Normalement, lorsque le pool atteint les normes, les SOL du compte de préparation devraient être transférés vers le compte compromis. Cependant, l'attaquant en a profité pour retirer ces SOL transférés, empêchant ainsi les tokens qui devaient être mis en ligne et verrouillés dans le pool de fonctionner normalement.
Analyse des victimes
Il est à noter que les fournisseurs de prêts éclair n'ont pas subi de pertes, car le prêt a été remboursé dans le même bloc. De plus, les tokens déjà lancés sur la plateforme de trading, dont la liquidité est verrouillée, ne devraient pas être affectés.
Les véritables perdants sont les utilisateurs qui ont acheté des jetons dans un pool qui n'était pas encore plein avant l'attaque. Leurs SOL ont été transférés par la méthode d'attaque mentionnée ci-dessus, ce qui explique également pourquoi le montant des pertes est si élevé. Les dernières données montrent que la perte réelle est d'environ 2 millions de dollars.
Failles de gestion interne
Cet incident révèle de graves lacunes dans la gestion des droits de l'équipe du projet. On suppose que l'attaquant pourrait avoir été responsable du remplissage des pools de jetons, ce qui est similaire à certaines stratégies adoptées par des projets à leurs débuts pour stimuler l'activité du marché.
Le Pump pourrait être conçu pour permettre un démarrage à froid, en laissant les attaquants utiliser les fonds du projet pour remplir le pool de nouveaux tokens émis (souvent des tokens émis par le projet lui-même), afin que ces tokens puissent être listés sur une plateforme d'échange et créer de l'engouement. Cependant, ils n'avaient pas prévu que cela deviendrait finalement un outil pour que les initiés mettent en œuvre des attaques.
Leçons et réflexions
Pour les projets de type imitation, il ne suffit pas de copier simplement les fonctionnalités superficielles. En plus du produit lui-même, il faut également envisager comment fournir une impulsion initiale pour attirer les utilisateurs.
Il est encore plus important que l'équipe du projet accorde une grande importance à la gestion des autorisations et aux mesures de sécurité. Cet incident souligne à nouveau l'importance du contrôle des risques internes dans le domaine des cryptomonnaies et fait résonner une alarme pour l'ensemble de l'industrie.
Voir l'original
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
10 J'aime
Récompense
10
4
Partager
Commentaire
0/400
PensionDestroyer
· 07-01 16:45
Un autre informateur a échoué.
Voir l'originalRépondre0
GraphGuru
· 07-01 16:35
Les chiens ne jouent même plus, ils se retirent, ils se retirent.
Voir l'originalRépondre0
GasFeeCry
· 07-01 16:33
pump tous les plateformes d'échange commençant par la lettre p !!!
Voir l'originalRépondre0
CompoundPersonality
· 07-01 16:26
Gagner de l'argent pour soi-même ? L'infiltré est vraiment trop doué.
Pump a subi un vol interne, un abus de pouvoir entraînant une perte de 2 millions de dollars.
Pump a subi un vol : des employés internes ont abusé de leurs droits, entraînant une perte de fonds
Récemment, un vol impliquant la plateforme Pump a suscité une large attention au sein de la communauté des cryptomonnaies. Cet article analysera en détail les tenants et aboutissants de cet événement.
Analyse des méthodes d'attaque
Cette attaque n'a pas été menée par des hackers sophistiqués, mais est très probablement l'œuvre d'un ancien employé de Pump. L'attaquant a obtenu les droits de portefeuille nécessaires pour créer des paires de trading de jetons sur un certain DEX. Dans l'attaque, ce compte est appelé "compte compromis", tandis que le pool de liquidité des jetons qui n'a pas encore atteint les normes de mise en ligne est appelé "compte préparatoire".
L'attaquant a rapidement rempli tous les pools qui n'atteignaient pas les normes de mise en ligne en utilisant un prêt éclair. Normalement, lorsque le pool atteint les normes, les SOL du compte de préparation devraient être transférés vers le compte compromis. Cependant, l'attaquant en a profité pour retirer ces SOL transférés, empêchant ainsi les tokens qui devaient être mis en ligne et verrouillés dans le pool de fonctionner normalement.
Analyse des victimes
Il est à noter que les fournisseurs de prêts éclair n'ont pas subi de pertes, car le prêt a été remboursé dans le même bloc. De plus, les tokens déjà lancés sur la plateforme de trading, dont la liquidité est verrouillée, ne devraient pas être affectés.
Les véritables perdants sont les utilisateurs qui ont acheté des jetons dans un pool qui n'était pas encore plein avant l'attaque. Leurs SOL ont été transférés par la méthode d'attaque mentionnée ci-dessus, ce qui explique également pourquoi le montant des pertes est si élevé. Les dernières données montrent que la perte réelle est d'environ 2 millions de dollars.
Failles de gestion interne
Cet incident révèle de graves lacunes dans la gestion des droits de l'équipe du projet. On suppose que l'attaquant pourrait avoir été responsable du remplissage des pools de jetons, ce qui est similaire à certaines stratégies adoptées par des projets à leurs débuts pour stimuler l'activité du marché.
Le Pump pourrait être conçu pour permettre un démarrage à froid, en laissant les attaquants utiliser les fonds du projet pour remplir le pool de nouveaux tokens émis (souvent des tokens émis par le projet lui-même), afin que ces tokens puissent être listés sur une plateforme d'échange et créer de l'engouement. Cependant, ils n'avaient pas prévu que cela deviendrait finalement un outil pour que les initiés mettent en œuvre des attaques.
Leçons et réflexions
Pour les projets de type imitation, il ne suffit pas de copier simplement les fonctionnalités superficielles. En plus du produit lui-même, il faut également envisager comment fournir une impulsion initiale pour attirer les utilisateurs.
Il est encore plus important que l'équipe du projet accorde une grande importance à la gestion des autorisations et aux mesures de sécurité. Cet incident souligne à nouveau l'importance du contrôle des risques internes dans le domaine des cryptomonnaies et fait résonner une alarme pour l'ensemble de l'industrie.