Анализ инцидента безопасности на платформе Pump

Недавно на платформе Pump произошел серьезный инцидент безопасности, в результате которого пострадали средства многих пользователей. В этой статье мы подробно проанализируем ход событий.

Процесс атаки

Атакующий не является высококлассным хакером, а скорее всего бывшим сотрудником платформы Pump. Он завладел кошельком с правами доступа к созданию торговых пар токенов на определенном DEX, который мы называем "жертвой счета". А все LP-пулы Bonding Curve на Pump, которые еще не достигли стандартов листинга на определенном DEX, мы называем "предварительным счетом".

Злоумышленник сначала получил flash-кредит с одной из платформ, чтобы заполнить все пулы токенов, которые не соответствуют стандартам листинга. В нормальных условиях, когда пул достигает стандартов листинга, SOL из "резервного аккаунта" должен быть переведен на "жертвенный аккаунт". Однако злоумышленник в этот момент извлек переведенные SOL, что привело к тому, что токены, которые должны были быть выставлены и заблокированы в пуле, не смогли быть выставлены в срок.

Анализ жертв

Согласно анализу, жертвы в основном представляют собой пользователей, которые приобрели токены, еще не заполнившие пул, на платформе Pump до атаки. Их SOL были украдены с помощью вышеупомянутых методов атаки. Это также объясняет, почему первоначальная оценка убытков могла достигать 80 миллионов долларов США (по последним данным, фактические убытки составляют около 2 миллионов долларов США).

Стоит отметить, что токены, уже размещенные на какой-либо DEX, должны быть защищены от этой атаки, поскольку их ликвидность заблокирована.

Предположение о личности нападающего

Атакующий владеет приватным ключом "жертвенского аккаунта", что, безусловно, указывает на серьезные упущения в управлении полномочиями платформы. Мы можем предположить, что заполнение токенов в пуле могло быть одной из прежних обязанностей атакующего.

Сравнивая с действиями других платформ, Pump, возможно, для реализации холодного старта, поручил этому сотруднику использовать средства проекта для заполнения пула новых выпущенных токенов (очень вероятно, это в основном токены тестирования, выпущенные им самим), чтобы эти токены могли быть выставлены на биржу и создать ажиотаж. Неожиданно это в конечном итоге стало прорывом внутренней угрозы.

Уроки и выводы

1. Для подобных проектов недостаточно просто копировать внешние проявления. Чтобы привлечь пользователей к торговле, необходимо предоставить начальный стимул.

2. Команда проекта должна уделять особое внимание управлению правами и мерам безопасности. Разумное распределение прав, регулярные аудиты и предотвращение внутренних рисков имеют решающее значение.

3. Пользователи должны быть внимательны при участии в новых платформах, особенно когда речь идет о торговле токенами, которые еще не полностью размещены или не выведены на основные биржи.

4. Проектная команда должна создать эффективный механизм управления рисками, включая многоуровенные подписи, иерархию доступа и т.д., чтобы снизить риск единой точки отказа.

5. Регулярно проводить аудит безопасности и тестирование на проникновение, своевременно выявлять и устранять потенциальные уязвимости.

6. Укрепление обучения сотрудников и морального воспитания, создание здоровой корпоративной культуры, снижение риска внутренних угроз.

Это событие еще раз напоминает нам о том, что безопасность всегда является первоочередной задачей в быстро развивающейся индустрии криптовалют. Как для разработчиков проектов, так и для пользователей, необходимо постоянно проявлять бдительность и принимать необходимые меры безопасности.