Pump gặp sự cố bị đánh cắp: Nhân viên nội bộ lạm dụng quyền hạn dẫn đến tổn thất tài chính
Gần đây, một vụ trộm liên quan đến nền tảng Pump đã thu hút sự chú ý rộng rãi từ cộng đồng tiền điện tử. Bài viết này sẽ phân tích chi tiết về nguồn gốc và diễn biến của sự kiện này.
Phân tích phương pháp tấn công
Cuộc tấn công này không phải do những hacker tinh vi thực hiện, mà rất có thể là do một cựu nhân viên của Pump gây ra. Kẻ tấn công đã nắm giữ quyền truy cập ví để tạo ra các cặp giao dịch token trên một DEX nào đó. Trong cuộc tấn công, tài khoản này được gọi là "tài khoản bị xâm nhập", trong khi bể thanh khoản của token chưa đạt tiêu chuẩn ra mắt được gọi là "tài khoản dự bị".
Kẻ tấn công đã nhanh chóng lấp đầy tất cả các pool chưa đạt tiêu chuẩn bằng cách sử dụng khoản vay chớp nhoáng. Thông thường, khi pool đạt tiêu chuẩn, SOL trong tài khoản dự bị sẽ được chuyển vào tài khoản bị xâm nhập. Tuy nhiên, kẻ tấn công đã lợi dụng cơ hội để rút những SOL đã được chuyển vào, khiến cho các token lẽ ra phải được niêm yết và khóa trong pool không thể hoạt động bình thường.
Phân tích nạn nhân
Cần lưu ý rằng các nhà cung cấp cho vay chớp nhoáng không chịu thiệt hại, vì khoản vay đã được hoàn trả trong cùng một khối. Hơn nữa, các mã thông báo đã được niêm yết trên nền tảng giao dịch do tính thanh khoản đã được khóa, nên sẽ không bị ảnh hưởng.
Những người thực sự chịu thiệt hại là những người đã mua token trong bể chưa đầy trước khi cuộc tấn công xảy ra. SOL của họ đã bị chuyển đi bằng phương pháp tấn công nêu trên, điều này cũng giải thích tại sao số tiền thiệt hại lại lớn đến vậy. Dữ liệu mới nhất cho thấy, thiệt hại thực tế khoảng 2 triệu đô la.
Lỗ hổng quản lý nội bộ
Sự kiện này đã phơi bày những thiếu sót nghiêm trọng trong quản lý quyền hạn của đội ngũ dự án. Có suy đoán cho rằng, kẻ tấn công có thể đã từng đảm nhiệm việc làm đầy bể token, điều này tương tự như một số dự án trong giai đoạn đầu đã thực hiện để kích thích sự hoạt động của thị trường.
Pump có thể nhằm mục đích khởi động lạnh, khiến kẻ tấn công phải sử dụng quỹ dự án để lấp đầy bể của các đồng tiền mới phát hành (thường là đồng tiền do dự án tự phát hành), để các đồng tiền này có thể được niêm yết trên nền tảng giao dịch và tạo ra sự nóng sốt. Tuy nhiên, họ không lường trước được rằng điều này cuối cùng sẽ trở thành công cụ để nhân viên nội bộ thực hiện tấn công.
Bài học và sự phản ánh
Đối với các dự án sao chép, chỉ việc sao chép các chức năng bề mặt là chưa đủ. Ngoài sản phẩm thực tế, cần phải xem xét cách cung cấp động lực ban đầu để thu hút người dùng.
Hơn nữa, các bên dự án phải đặc biệt chú trọng đến quản lý quyền hạn và các biện pháp an ninh. Sự kiện này một lần nữa nhấn mạnh tầm quan trọng của việc kiểm soát rủi ro trong lĩnh vực tiền điện tử, đồng thời cảnh báo toàn ngành.
Xem bản gốc
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
17 thích
Phần thưởng
17
6
Chia sẻ
Bình luận
0/400
SchrodingersFOMO
· 07-04 14:32
Nội gián luôn là vết thương chí mạng của圈 mã hóa.
Xem bản gốcTrả lời0
ArbitrageBot
· 07-04 11:52
Cười chết mất, nhân viên không đáng tin cậy
Xem bản gốcTrả lời0
PensionDestroyer
· 07-01 16:45
Một kẻ nội gián nữa đã bị lộ.
Xem bản gốcTrả lời0
GraphGuru
· 07-01 16:35
Chó cũng không chơi, đã rút lui rồi, đã rút lui rồi.
Xem bản gốcTrả lời0
GasFeeCry
· 07-01 16:33
bơm đen tất cả sàn giao dịch bắt đầu bằng chữ p!!!
Pump bị 2 triệu đô la trộm cắp nội bộ và lạm dụng quyền lực
Pump gặp sự cố bị đánh cắp: Nhân viên nội bộ lạm dụng quyền hạn dẫn đến tổn thất tài chính
Gần đây, một vụ trộm liên quan đến nền tảng Pump đã thu hút sự chú ý rộng rãi từ cộng đồng tiền điện tử. Bài viết này sẽ phân tích chi tiết về nguồn gốc và diễn biến của sự kiện này.
Phân tích phương pháp tấn công
Cuộc tấn công này không phải do những hacker tinh vi thực hiện, mà rất có thể là do một cựu nhân viên của Pump gây ra. Kẻ tấn công đã nắm giữ quyền truy cập ví để tạo ra các cặp giao dịch token trên một DEX nào đó. Trong cuộc tấn công, tài khoản này được gọi là "tài khoản bị xâm nhập", trong khi bể thanh khoản của token chưa đạt tiêu chuẩn ra mắt được gọi là "tài khoản dự bị".
Kẻ tấn công đã nhanh chóng lấp đầy tất cả các pool chưa đạt tiêu chuẩn bằng cách sử dụng khoản vay chớp nhoáng. Thông thường, khi pool đạt tiêu chuẩn, SOL trong tài khoản dự bị sẽ được chuyển vào tài khoản bị xâm nhập. Tuy nhiên, kẻ tấn công đã lợi dụng cơ hội để rút những SOL đã được chuyển vào, khiến cho các token lẽ ra phải được niêm yết và khóa trong pool không thể hoạt động bình thường.
Phân tích nạn nhân
Cần lưu ý rằng các nhà cung cấp cho vay chớp nhoáng không chịu thiệt hại, vì khoản vay đã được hoàn trả trong cùng một khối. Hơn nữa, các mã thông báo đã được niêm yết trên nền tảng giao dịch do tính thanh khoản đã được khóa, nên sẽ không bị ảnh hưởng.
Những người thực sự chịu thiệt hại là những người đã mua token trong bể chưa đầy trước khi cuộc tấn công xảy ra. SOL của họ đã bị chuyển đi bằng phương pháp tấn công nêu trên, điều này cũng giải thích tại sao số tiền thiệt hại lại lớn đến vậy. Dữ liệu mới nhất cho thấy, thiệt hại thực tế khoảng 2 triệu đô la.
Lỗ hổng quản lý nội bộ
Sự kiện này đã phơi bày những thiếu sót nghiêm trọng trong quản lý quyền hạn của đội ngũ dự án. Có suy đoán cho rằng, kẻ tấn công có thể đã từng đảm nhiệm việc làm đầy bể token, điều này tương tự như một số dự án trong giai đoạn đầu đã thực hiện để kích thích sự hoạt động của thị trường.
Pump có thể nhằm mục đích khởi động lạnh, khiến kẻ tấn công phải sử dụng quỹ dự án để lấp đầy bể của các đồng tiền mới phát hành (thường là đồng tiền do dự án tự phát hành), để các đồng tiền này có thể được niêm yết trên nền tảng giao dịch và tạo ra sự nóng sốt. Tuy nhiên, họ không lường trước được rằng điều này cuối cùng sẽ trở thành công cụ để nhân viên nội bộ thực hiện tấn công.
Bài học và sự phản ánh
Đối với các dự án sao chép, chỉ việc sao chép các chức năng bề mặt là chưa đủ. Ngoài sản phẩm thực tế, cần phải xem xét cách cung cấp động lực ban đầu để thu hút người dùng.
Hơn nữa, các bên dự án phải đặc biệt chú trọng đến quản lý quyền hạn và các biện pháp an ninh. Sự kiện này một lần nữa nhấn mạnh tầm quan trọng của việc kiểm soát rủi ro trong lĩnh vực tiền điện tử, đồng thời cảnh báo toàn ngành.