Аналіз безпекової події на платформі Pump

Нещодавно на платформі Pump сталася серйозна безпекова подія, яка призвела до значних втрат коштів багатьох користувачів. У цій статті буде проведено глибокий аналіз цієї події.

Процес атаки

Атакувальник не є висококласним хакером, а, ймовірно, колишнім працівником платформи Pump. Він має доступ до гаманця з правами, які використовуються для створення торгових пар токенів на певному DEX, який ми називаємо "жертвенним рахунком". А всі Bonding Curve LP пулі, які ще не досягли стандартів для розміщення на певному DEX, ми називаємо "підготовчими рахунками".

Зловмисник спочатку отримав кредит на блискавичних засадах з певної платформи, щоб заповнити всі токен-пули, які не відповідають стандартам для запуску. У нормальних умовах, коли пул досягає стандартів для запуску, SOL з "підготовчого рахунку" має бути переведено на "рахунок жертви". Але в цей момент зловмисник вилучив переведений SOL, що призвело до того, що токени, які мали бути запущені та заблоковані в пулі, не змогли бути запущені вчасно.

Аналіз жертв

Згідно з аналізом, жертви в основному були користувачами, які купили токени, що ще не були заповнені в басейні, на платформі Pump перед атакою. Їхні SOL були вкрадені внаслідок вищезазначених атакуючих засобів. Це також пояснює, чому початкові оцінки збитків могли сягати 80 мільйонів доларів (останні дані показують, що фактичні збитки становлять близько 2 мільйонів доларів).

Варто зазначити, що токени, які вже були запущені на певному DEX, не повинні постраждати від цієї атаки, оскільки LP був заблокований.

Припущення про особу нападника

Зловмисник має приватний ключ "жертви", що безсумнівно виявляє істотну недбалість платформи в управлінні правами. Можемо припустити, що заповнення токенів в пулі могло бути частиною обов'язків зловмисника раніше.

Аналогічно до дій інших платформ, Pump, можливо, для реалізації холодного старту, доручив цьому співробітникові використовувати кошти проекту для заповнення пулу нововипущених токенів (найімовірніше, це переважно тестові токени, випущені ним самим), щоб ці токени могли потрапити на біржу та створити ажіотаж. Не сподівався, що це врешті-решт стане проривом для внутрішньої загрози.

Уроки та досвід

1. Для подібних проектів недостатньо просто наслідувати зовнішній вигляд. Щоб залучити користувачів до торгівлі, необхідно надати початковий імпульс.

2. Команда проекту повинна приділяти велике значення управлінню правами та заходам безпеки. Раціональне розподілення прав, регулярний аудит і запобігання внутрішнім ризикам є надзвичайно важливими.

3. Користувачі повинні бути обережними, беручи участь у нових платформах, особливо коли йдеться про торгівлю токенами, які ще не повністю заповнені або не виведені на основні біржі.

4. Проектна команда повинна створити完善ну систему управління ризиками, включаючи багатопідпис, рівні прав доступу тощо, щоб знизити ризик одноточкових збоїв.

5. Регулярно проводити аудит безпеки та тестування на проникнення, щоб своєчасно виявляти та усувати потенційні вразливості.

6. Посилити навчання працівників та етичне виховання, створити здорову корпоративну культуру, знизити ризик внутрішніх загроз.

Ця подія ще раз нагадує нам, що в швидко розвиваючійся індустрії криптовалют безпека завжди є пріоритетом. Як для проектів, так і для користувачів, необхідно завжди бути насторожі та вжити необхідних заходів безпеки.