Детальний звіт про інцидент з атакою Хакера на Pump
Нещодавно платформа Pump зазнала атаки хакера, що викликало широкий інтерес. У цій статті буде проведено глибокий аналіз цієї події, розкрито конкретний процес атаки, область впливу та можливі причини.
Аналіз методів атаки
Зловмисник не є висококласним Хакер, а, швидше за все, колишнім співробітником Pump. Він отримав доступ до ключового гаманця, який відповідає за створення торгових пар нових токенів на певній торговій платформі. Зловмисник також скористався підготовчий рахунок, на якому зберігалися пул коштів токенів, що ще не досягли стандартів запуску.
Під час атаки хакер отримав миттєвий кредит через певну платформу кредитування, щоб заповнити всі недосягнуті пулі. У нормальних умовах, коли пул досягає стандарту, SOL з підготовчого рахунку має бути переведено на атаковану гаманця. Однак, у цьому процесі атакуючий вилучив переведений SOL, що призвело до неможливості виходу цих токенів на торгову платформу.
Аналіз жертв
Цей напад не вплинув на платформи кредитування, оскільки миттєвий кредит був повернутий в межах одного й того ж блоку. Токени, які вже запущені на торгових платформах, також в основному не піддалися впливу, оскільки їхній ліквідний пул був заблокований.
Основними жертвами стали користувачі, які придбали токени, що ще не були повністю зібрані, на платформі Pump перед нападом. Їхні SOL були викрадені зловмисниками, що призвело до величезних втрат. Останні дані показують, що сума втрат становить близько 2 мільйонів доларів.
Припущення причин атаки
Ця подія виявила серйозну недбалість команди Pump у питаннях управління доступом. Вважається, що зловмисник міг бути відповідальним за заповнення ліквідності нового токена, що було однією з стратегій платформи для привернення уваги користувачів на початкових етапах. Подібні дії також мали місце на інших нових платформах, таких як певна соціальна мережа, яка могла використовувати офіційних ботів для стимулювання активності торгівлі на початку свого запуску.
Памп може дозволити зловмисникам використовувати кошти проєкту для заповнення фондів нововиданих токенів, щоб сприяти холодному запуску платформи. Ці токени, швидше за все, є тестовими монетами, виданими самими розробниками проєкту. Однак цей підхід зрештою стає джерелом безпекової вразливості.
Уроки досвіду
Для нових платформ, що імітують інші успішні проекти, недостатньо просто скопіювати поверхневі функції. Щоб залучити користувачів до торгів, необхідно надати початковий імпульс.
Строга система управління доступом та заходи безпеки є надзвичайно важливими. Проектна команда повинна створити ефективну внутрішню контрольну систему, щоб запобігти зловживанню правами з боку внутрішніх співробітників.
При запуску нових функцій або виконанні важливих операцій слід впроваджувати додаткові механізми безпеки, такі як мультипідпис, щоб зменшити ризик єдиних точок відмови.
Регулярно проводити аудит безпеки та тести на уразливості, своєчасно виявляти та виправляти потенційні загрози безпеці.
Підвищити обізнаність членів команди щодо безпеки, встановити суворий процес передачі справ при звільненні, щоб забезпечити своєчасне відкликання прав звільнених співробітників.
Ця подія стала сигналом для всієї індустрії криптовалют, нагадуючи нам, що при прагненні до інновацій і швидкого розвитку не можна ігнорувати основні принципи безпеки та управління ризиками.
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
23 лайків
Нагородити
23
6
Репост
Поділіться
Прокоментувати
0/400
down_only_larry
· 08-13 03:56
прикладати зусилля занадто важко, іти в лонг не варто
Переглянути оригіналвідповісти на0
GateUser-a180694b
· 08-12 11:18
Старий знайомий зайняв протилежну позицію і обдурив людей, як лохів.
Переглянути оригіналвідповісти на0
TokenSleuth
· 08-12 11:17
Ще один колишній працівник, який здався.
Переглянути оригіналвідповісти на0
GasFeeNightmare
· 08-12 11:15
газ не вартий того, Термінові позики ще й дорогі
Переглянути оригіналвідповісти на0
SmartContractPlumber
· 08-12 11:12
Контроль доступу настільки слабкий, що не дивно, що це проєкт Новачок.
Переглянути оригіналвідповісти на0
0xSoulless
· 08-12 10:52
典呐 Внутрішні зрадники найкраще обдурюють людей, як лохів
Pumpплатформа遭Хакер攻击 或为前员工作案 损失200万美元
Детальний звіт про інцидент з атакою Хакера на Pump
Нещодавно платформа Pump зазнала атаки хакера, що викликало широкий інтерес. У цій статті буде проведено глибокий аналіз цієї події, розкрито конкретний процес атаки, область впливу та можливі причини.
Аналіз методів атаки
Зловмисник не є висококласним Хакер, а, швидше за все, колишнім співробітником Pump. Він отримав доступ до ключового гаманця, який відповідає за створення торгових пар нових токенів на певній торговій платформі. Зловмисник також скористався підготовчий рахунок, на якому зберігалися пул коштів токенів, що ще не досягли стандартів запуску.
Під час атаки хакер отримав миттєвий кредит через певну платформу кредитування, щоб заповнити всі недосягнуті пулі. У нормальних умовах, коли пул досягає стандарту, SOL з підготовчого рахунку має бути переведено на атаковану гаманця. Однак, у цьому процесі атакуючий вилучив переведений SOL, що призвело до неможливості виходу цих токенів на торгову платформу.
Аналіз жертв
Цей напад не вплинув на платформи кредитування, оскільки миттєвий кредит був повернутий в межах одного й того ж блоку. Токени, які вже запущені на торгових платформах, також в основному не піддалися впливу, оскільки їхній ліквідний пул був заблокований.
Основними жертвами стали користувачі, які придбали токени, що ще не були повністю зібрані, на платформі Pump перед нападом. Їхні SOL були викрадені зловмисниками, що призвело до величезних втрат. Останні дані показують, що сума втрат становить близько 2 мільйонів доларів.
Припущення причин атаки
Ця подія виявила серйозну недбалість команди Pump у питаннях управління доступом. Вважається, що зловмисник міг бути відповідальним за заповнення ліквідності нового токена, що було однією з стратегій платформи для привернення уваги користувачів на початкових етапах. Подібні дії також мали місце на інших нових платформах, таких як певна соціальна мережа, яка могла використовувати офіційних ботів для стимулювання активності торгівлі на початку свого запуску.
Памп може дозволити зловмисникам використовувати кошти проєкту для заповнення фондів нововиданих токенів, щоб сприяти холодному запуску платформи. Ці токени, швидше за все, є тестовими монетами, виданими самими розробниками проєкту. Однак цей підхід зрештою стає джерелом безпекової вразливості.
Уроки досвіду
Для нових платформ, що імітують інші успішні проекти, недостатньо просто скопіювати поверхневі функції. Щоб залучити користувачів до торгів, необхідно надати початковий імпульс.
Строга система управління доступом та заходи безпеки є надзвичайно важливими. Проектна команда повинна створити ефективну внутрішню контрольну систему, щоб запобігти зловживанню правами з боку внутрішніх співробітників.
При запуску нових функцій або виконанні важливих операцій слід впроваджувати додаткові механізми безпеки, такі як мультипідпис, щоб зменшити ризик єдиних точок відмови.
Регулярно проводити аудит безпеки та тести на уразливості, своєчасно виявляти та виправляти потенційні загрози безпеці.
Підвищити обізнаність членів команди щодо безпеки, встановити суворий процес передачі справ при звільненні, щоб забезпечити своєчасне відкликання прав звільнених співробітників.
Ця подія стала сигналом для всієї індустрії криптовалют, нагадуючи нам, що при прагненні до інновацій і швидкого розвитку не можна ігнорувати основні принципи безпеки та управління ризиками.