Pump столкнулся с кражей: внутренние сотрудники злоупотребили полномочиями, что привело к потерям средств
Недавно инцидент с кражей на платформе Pump привлек широкое внимание криптовалютного сообщества. В этой статье будет подробно разобрана история этого события.
Анализ методов атаки
Эта атака была совершена, вероятно, не высококлассными хакерами, а бывшим сотрудником Pump. Нападающий обладал правами на кошелек, используемым для создания торговых пар токенов на одном из DEX. В атаке этот аккаунт называется "взломанным аккаунтом", а ликвидный пул токенов, который еще не достиг стандартов выхода на рынок, называется "резервным аккаунтом".
Атакующие быстро заполнили все пулы, которые еще не достигли стандартов, с помощью флеш-займов. В нормальных условиях, когда пул достигает стандартов, SOL из резервного аккаунта должен переводиться на взломанный аккаунт. Однако, злоумышленник воспользовался моментом и вывел эти переведенные SOL, что привело к тому, что токены, которые должны были быть запущены и заблокированы в пуле, не смогли нормально функционировать.
Анализ жертв
Стоит отметить, что провайдеры кредитов на основе вспышек не понесли убытков, поскольку кредиты были возвращены в том же блоке. Кроме того, токены, которые уже вышли на торговую платформу, не должны пострадать, так как ликвидность уже заблокирована.
Настоящими потерпевшими стали пользователи, которые купили токены в еще не заполненном пуле до начала атаки. Их SOL были украдены с помощью вышеупомянутого метода атаки, что также объясняет, почему сумма убытков оказалась такой огромной. Последние данные показывают, что фактические убытки составляют около 2 миллионов долларов.
Уязвимость внутреннего управления
Этот инцидент выявил серьезные недостатки в управлении правами в команде проекта. Предполагается, что злоумышленник мог быть ответственным за работу по заполнению пула токенов, что похоже на стратегии, используемые некоторыми проектами на ранних стадиях для стимуляции активности на рынке.
Pump может быть задумана для реализации холодного старта, заставляя злоумышленников заполнять пул новых выпущенных токенов (чаще всего токенами, выпущенными самим проектом) за счет средств проекта, чтобы эти токены могли выйти на торговую платформу и создать ажиотаж. Однако они не ожидали, что это в конечном итоге станет инструментом для осуществления атак внутренними лицами.
Уроки и размышления
Для проектов, имитирующих другие, простого копирования поверхностных функций недостаточно. Кроме самого продукта, необходимо также подумать о том, как предоставить первоначальный импульс для привлечения пользователей.
Более важно, что проектная команда должна уделять серьезное внимание управлению доступом и мерам безопасности. Этот инцидент еще раз подчеркивает важность внутреннего контроля рисков в области криптовалют, а также является сигналом тревоги для всей отрасли.
Посмотреть Оригинал
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
17 Лайков
Награда
17
6
Поделиться
комментарий
0/400
SchrodingersFOMO
· 07-04 14:32
Внутренние предатели всегда являются смертельной раной для шифрования.
Посмотреть ОригиналОтветить0
ArbitrageBot
· 07-04 11:52
Смешно, сотрудники совсем ненадежные.
Посмотреть ОригиналОтветить0
PensionDestroyer
· 07-01 16:45
Еще один шпион провалился.
Посмотреть ОригиналОтветить0
GraphGuru
· 07-01 16:35
Собаки даже не играют, вышли из圈ка, вышли из圈ка.
Посмотреть ОригиналОтветить0
GasFeeCry
· 07-01 16:33
насос черный все биржи, начинающиеся на букву p!!!
Pump стал жертвой внутреннего воровства, злоупотребление полномочиями привело к потере 2 миллиона долларов США.
Pump столкнулся с кражей: внутренние сотрудники злоупотребили полномочиями, что привело к потерям средств
Недавно инцидент с кражей на платформе Pump привлек широкое внимание криптовалютного сообщества. В этой статье будет подробно разобрана история этого события.
Анализ методов атаки
Эта атака была совершена, вероятно, не высококлассными хакерами, а бывшим сотрудником Pump. Нападающий обладал правами на кошелек, используемым для создания торговых пар токенов на одном из DEX. В атаке этот аккаунт называется "взломанным аккаунтом", а ликвидный пул токенов, который еще не достиг стандартов выхода на рынок, называется "резервным аккаунтом".
Атакующие быстро заполнили все пулы, которые еще не достигли стандартов, с помощью флеш-займов. В нормальных условиях, когда пул достигает стандартов, SOL из резервного аккаунта должен переводиться на взломанный аккаунт. Однако, злоумышленник воспользовался моментом и вывел эти переведенные SOL, что привело к тому, что токены, которые должны были быть запущены и заблокированы в пуле, не смогли нормально функционировать.
Анализ жертв
Стоит отметить, что провайдеры кредитов на основе вспышек не понесли убытков, поскольку кредиты были возвращены в том же блоке. Кроме того, токены, которые уже вышли на торговую платформу, не должны пострадать, так как ликвидность уже заблокирована.
Настоящими потерпевшими стали пользователи, которые купили токены в еще не заполненном пуле до начала атаки. Их SOL были украдены с помощью вышеупомянутого метода атаки, что также объясняет, почему сумма убытков оказалась такой огромной. Последние данные показывают, что фактические убытки составляют около 2 миллионов долларов.
Уязвимость внутреннего управления
Этот инцидент выявил серьезные недостатки в управлении правами в команде проекта. Предполагается, что злоумышленник мог быть ответственным за работу по заполнению пула токенов, что похоже на стратегии, используемые некоторыми проектами на ранних стадиях для стимуляции активности на рынке.
Pump может быть задумана для реализации холодного старта, заставляя злоумышленников заполнять пул новых выпущенных токенов (чаще всего токенами, выпущенными самим проектом) за счет средств проекта, чтобы эти токены могли выйти на торговую платформу и создать ажиотаж. Однако они не ожидали, что это в конечном итоге станет инструментом для осуществления атак внутренними лицами.
Уроки и размышления
Для проектов, имитирующих другие, простого копирования поверхностных функций недостаточно. Кроме самого продукта, необходимо также подумать о том, как предоставить первоначальный импульс для привлечения пользователей.
Более важно, что проектная команда должна уделять серьезное внимание управлению доступом и мерам безопасности. Этот инцидент еще раз подчеркивает важность внутреннего контроля рисков в области криптовалют, а также является сигналом тревоги для всей отрасли.