Pump зазнав крадіжки: внутрішні співробітники зловживали повноваженнями, що призвело до фінансових втрат
Нещодавно випадок крадіжки, що стосується платформи Pump, привернув широке увагу криптовалютної спільноти. У цій статті ми детально проаналізуємо хід подій цього випадку.
Аналіз методів атаки
Цей напад не був здійснений висококласними хакерами, а скоріше, ймовірно, колишніми працівниками Pump. Зловмисник отримав доступ до гаманця, який використовується для створення торгових пар токенів на певному DEX. У нападі цей рахунок називається "зламаний рахунок", а ліквідність токенів, які ще не досягли стандартів запуску, називається "підготовчий рахунок".
Зловмисник за допомогою блискавичного кредиту швидко заповнив усі резервуари, які ще не досягли стандартів для запуску. У нормальних умовах, коли резервуар досягає стандарту, SOL з резервного рахунку повинні бути переведені на зламаний рахунок. Однак зловмисник скористався моментом і витягнув ці переведені SOL, що призвело до того, що токени, які повинні були бути запущені та заблоковані в резервуарах, не змогли належним чином функціонувати.
Аналіз жертв
Варто зазначити, що постачальники миттєвих кредитів не зазнали збитків, оскільки кредит було повернуто в тому ж блоці. Крім того, токени, які вже вийшли на торгову платформу, повинні залишитися неушкодженими через заблоковану ліквідність.
Справжніми жертвами втрат є користувачі, які придбали токени в ще не заповненому пулі перед атакою. Їхні SOL були переведені за допомогою зазначеного методу атаки, що також пояснює, чому сума втрат така велика. Останні дані показують, що фактичні втрати становлять близько 2 мільйонів доларів.
Внутрішні управлінські вразливості
Ця подія виявила серйозні недоліки команди проекту в управлінні правами. Є припущення, що зловмисник, ймовірно, відповідав за заповнення пулу токенів, що схоже на стратегії, які використовуються деякими проектами на ранніх стадіях для стимулювання активності на ринку.
Pump, можливо, щоб реалізувати холодний старт, змусив нападників заповнити нововипущених токенів пул проектних коштів (як правило, токенами, випущеними самим проектом), щоб ці токени могли бути запущені на торгових платформах та створити гарячу атмосферу. Однак вони не передбачали, що це врешті-решт стане інструментом для здійснення атак внутрішніми особами.
Уроки та роздуми
Для проектів, що імітують, простого копіювання поверхневих функцій явно недостатньо. Окрім самого продукту, також потрібно враховувати, як забезпечити початковий імпульс для залучення користувачів.
Більш важливо, що команда проекту повинна приділяти велику увагу управлінню правами доступу та заходам безпеки. Ця подія ще раз підкреслила важливість контролю внутрішніх ризиків у сфері криптовалют, а також пролила світло на проблеми в цій галузі.
Переглянути оригінал
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
17 лайків
Нагородити
17
6
Поділіться
Прокоментувати
0/400
SchrodingersFOMO
· 07-04 14:32
Внутрішній зрадник завжди є смертельною раною шифрувального кола.
Переглянути оригіналвідповісти на0
ArbitrageBot
· 07-04 11:52
Смішно, співробітники зовсім ненадійні.
Переглянути оригіналвідповісти на0
PensionDestroyer
· 07-01 16:45
Ще один зрадник програв.
Переглянути оригіналвідповісти на0
GraphGuru
· 07-01 16:35
Собаки навіть не грають, вийшли з гри, вийшли з гри.
Переглянути оригіналвідповісти на0
GasFeeCry
· 07-01 16:33
пампити всі біржі, що починаються на букву p!!!
Переглянути оригіналвідповісти на0
CompoundPersonality
· 07-01 16:26
Заробляти на своїх власних грошах? Внутрішній агент занадто талановитий.
Pump зазнав внутрішнього викрадення, зловживання повноваженнями призвело до збитків у 2 мільйони доларів
Pump зазнав крадіжки: внутрішні співробітники зловживали повноваженнями, що призвело до фінансових втрат
Нещодавно випадок крадіжки, що стосується платформи Pump, привернув широке увагу криптовалютної спільноти. У цій статті ми детально проаналізуємо хід подій цього випадку.
Аналіз методів атаки
Цей напад не був здійснений висококласними хакерами, а скоріше, ймовірно, колишніми працівниками Pump. Зловмисник отримав доступ до гаманця, який використовується для створення торгових пар токенів на певному DEX. У нападі цей рахунок називається "зламаний рахунок", а ліквідність токенів, які ще не досягли стандартів запуску, називається "підготовчий рахунок".
Зловмисник за допомогою блискавичного кредиту швидко заповнив усі резервуари, які ще не досягли стандартів для запуску. У нормальних умовах, коли резервуар досягає стандарту, SOL з резервного рахунку повинні бути переведені на зламаний рахунок. Однак зловмисник скористався моментом і витягнув ці переведені SOL, що призвело до того, що токени, які повинні були бути запущені та заблоковані в резервуарах, не змогли належним чином функціонувати.
Аналіз жертв
Варто зазначити, що постачальники миттєвих кредитів не зазнали збитків, оскільки кредит було повернуто в тому ж блоці. Крім того, токени, які вже вийшли на торгову платформу, повинні залишитися неушкодженими через заблоковану ліквідність.
Справжніми жертвами втрат є користувачі, які придбали токени в ще не заповненому пулі перед атакою. Їхні SOL були переведені за допомогою зазначеного методу атаки, що також пояснює, чому сума втрат така велика. Останні дані показують, що фактичні втрати становлять близько 2 мільйонів доларів.
Внутрішні управлінські вразливості
Ця подія виявила серйозні недоліки команди проекту в управлінні правами. Є припущення, що зловмисник, ймовірно, відповідав за заповнення пулу токенів, що схоже на стратегії, які використовуються деякими проектами на ранніх стадіях для стимулювання активності на ринку.
Pump, можливо, щоб реалізувати холодний старт, змусив нападників заповнити нововипущених токенів пул проектних коштів (як правило, токенами, випущеними самим проектом), щоб ці токени могли бути запущені на торгових платформах та створити гарячу атмосферу. Однак вони не передбачали, що це врешті-решт стане інструментом для здійснення атак внутрішніми особами.
Уроки та роздуми
Для проектів, що імітують, простого копіювання поверхневих функцій явно недостатньо. Окрім самого продукту, також потрібно враховувати, як забезпечити початковий імпульс для залучення користувачів.
Більш важливо, що команда проекту повинна приділяти велику увагу управлінню правами доступу та заходам безпеки. Ця подія ще раз підкреслила важливість контролю внутрішніх ризиків у сфері криптовалют, а також пролила світло на проблеми в цій галузі.