Глибина аналізу інциденту Pump-крадіжки

Нещодавно платформа Pump зазнала великої крадіжки, що викликало широкий інтерес у криптовалютній спільноті. Ця стаття детально проаналізує хід подій, що призвели до цієї ситуації.

Розкриття методів атаки

Згідно з аналізом, ця атака, ймовірно, була здійснена не висококласними хакерами, а, швидше за все, колишніми працівниками платформи. Зловмисник отримав доступ до ключового гаманця, який використовувався для створення торгових пар нових токенів на певній децентралізованій біржі. Ми називаємо цей гаманець "атакованим рахунком". Водночас, пул коштів нових токенів, які ще не досягли стандартів запуску на платформі, називається "підготовчим рахунком".

Зловмисники використали闪电贷, щоб заповнити всі ліквідні пулі, які не досягли стандартів. У нормальних умовах, коли ліквідний пул досягає стандартів, токени SOL з підготовчого рахунку повинні бути переведені на рахунок, що зазнав атаки. Однак, зловмисники у цьому процесі витягли переведені SOL, що призвело до того, що ці мем-монети, які мали бути запущені, не змогли вчасно вийти на біржу.

Аналіз жертв

Згідно з аналізом фахівців, жертвами цього нападу стали переважно користувачі, які до нападу вже купили токени в ще не заповненому фонді. Ці користувачі втратили свої SOL, які були переведені зловмисниками, що призвело до величезних економічних втрат. Ранні оцінки збитків можуть сягати 80 мільйонів доларів США, проте останні дані показують, що фактичні збитки становлять близько 2 мільйонів доларів США.

Слід зазначити, що токени, які вже запущені на біржі, не повинні постраждати від цієї атаки, оскільки їх ліквідність була заблокована. Водночас платформи, які надають миттєві кредити, також не зазнали збитків, оскільки повернення миттєвих кредитів відбулося в одному й тому ж блоці.

Внутрішні управлінські вразливості

Ця подія виявила суттєвий дефіцит у внутрішньому управлінні платформи. Зловмисники змогли отримати приватні ключі ключових рахунків, що явно свідчить про серйозну недбалість команди в управлінні правами доступу.

Є думки, що зловмисники могли бути відповідальними за наповнення фондів нововипущених токенів, щоб сприяти початковій експлуатації платформи та накопиченню популярності. Така практика не є рідкістю на нових платформах, але якщо нею належно не управляти, це може стати загрозою безпеці.

Уроки досвіду

Ця подія надала цінний урок для проектів криптовалюти:

1. Лише імітувати поверхню інших успішних проектів явно недостатньо. Новій платформі потрібно ретельно розробити стратегію просування на початковому етапі, щоб залучити користувачів до участі.

2. Управління правами доступу та заходи безпеки є вкрай важливими. Команда проекту повинна створити сувору систему внутрішнього контролю, щоб запобігти зловживанню основними правами.

3. Користувачі повинні бути обережними під час участі в нових проєктах та повністю усвідомлювати потенційні ризики.

4. Індустрія криптовалют повинна постійно вдосконалювати механізми безпеки для протидії все більш складним методам атак.

Ця подія ще раз нагадує нам, що в швидко розвиваючійся сфері криптовалют безпека завжди є найважливішим фактором. Команди проектів, користувачі та вся галузь повинні взяти уроки з цього випадку та спільно працювати над створенням більш безпечної та надійної криптоекосистеми.