Phân tích sự kiện an ninh của nền tảng Pump

Gần đây, một sự kiện an ninh nghiêm trọng đã xảy ra trên nền tảng Pump, dẫn đến việc thiệt hại tài sản của nhiều người dùng. Bài viết này sẽ phân tích sâu về nguồn gốc và diễn biến của sự kiện này.

Quá trình tấn công

Kẻ tấn công không phải là một hacker xuất sắc, mà rất có thể là một nhân viên cũ của nền tảng Pump. Hắn ta nắm giữ ví quyền tạo cặp giao dịch token trên một DEX mà Pump sử dụng, chúng tôi gọi là "tài khoản nạn nhân". Còn tất cả các Pool LP Bonding Curve trên Pump chưa đạt tiêu chuẩn niêm yết trên một DEX, chúng tôi gọi là "tài khoản chuẩn bị".

Kẻ tấn công trước tiên đã lấy một khoản vay chớp nhoáng từ một nền tảng cho vay để lấp đầy tất cả các bể token chưa đạt tiêu chuẩn niêm yết. Thông thường, khi bể đạt tiêu chuẩn niêm yết, SOL trong "tài khoản chuẩn bị" sẽ được chuyển vào "tài khoản nạn nhân". Nhưng kẻ tấn công đã rút SOL vừa được chuyển vào, dẫn đến những token vốn dĩ sẽ được niêm yết và khóa trong bể không thể được niêm yết đúng hạn.

Phân tích nạn nhân

Theo phân tích, nạn nhân chủ yếu là những người dùng đã mua token chưa đầy đủ trong bể trên nền tảng Pump trước khi cuộc tấn công xảy ra. SOL của họ đã bị chuyển đi bằng phương pháp tấn công nêu trên. Điều này cũng giải thích tại sao ước tính thiệt hại ban đầu có thể lên tới 80 triệu USD (dữ liệu mới nhất cho thấy thiệt hại thực tế khoảng 2 triệu USD).

Cần lưu ý rằng các token đã được niêm yết trên một DEX nào đó do LP đã được khóa, sẽ không bị ảnh hưởng bởi cuộc tấn công lần này.

Suy đoán danh tính kẻ tấn công

Kẻ tấn công nắm giữ khóa riêng của "tài khoản nạn nhân", điều này chắc chắn đã phơi bày sự sơ suất nghiêm trọng trong quản lý quyền hạn của nền tảng. Chúng ta có thể suy đoán rằng việc lấp đầy bể token có thể chính là một trong những trách nhiệm công việc trước đây của kẻ tấn công.

Giống như cách làm của các nền tảng khác, Pump có thể để nhân viên này phụ trách sử dụng quỹ dự án để lấp đầy bể token mới phát hành (rất có thể chủ yếu là token thử nghiệm do chính họ phát hành) nhằm giúp các token này có thể lên sàn giao dịch và tạo ra sự nóng lên. Không ngờ rằng điều này cuối cùng đã trở thành điểm yếu nội bộ.

Kinh nghiệm bài học

1. Đối với những dự án tương tự, chỉ bắt chước bề ngoài là không đủ. Để thu hút người dùng giao dịch, cần cung cấp động lực ban đầu.

2. Nhóm dự án phải đặc biệt chú trọng đến quản lý quyền và các biện pháp an ninh. Phân bổ quyền hợp lý, kiểm tra định kỳ và phòng ngừa rủi ro nội bộ là vô cùng quan trọng.

3. Người dùng nên giữ cảnh giác khi tham gia nền tảng mới nổi, đặc biệt là đối với các giao dịch token chưa được niêm yết hoàn toàn hoặc chưa được niêm yết trên các sàn giao dịch chính.

4. Dự án nên thiết lập cơ chế quản lý rủi ro hoàn thiện, bao gồm chữ ký đa dạng, phân cấp quyền hạn, v.v., để giảm thiểu rủi ro sự cố điểm đơn.

5. Thực hiện kiểm toán an ninh và kiểm tra thâm nhập định kỳ, kịp thời phát hiện và sửa chữa các lỗ hổng tiềm ẩn.

6. Tăng cường đào tạo nhân viên và giáo dục đạo đức, xây dựng văn hóa doanh nghiệp lành mạnh, giảm thiểu rủi ro từ mối đe dọa nội bộ.

Sự kiện này một lần nữa nhắc nhở chúng ta rằng, trong ngành công nghiệp tiền điện tử phát triển nhanh chóng, an toàn luôn là ưu tiên hàng đầu. Dù là các bên dự án hay người dùng, đều cần phải luôn cảnh giác và thực hiện các biện pháp an toàn cần thiết.