Детальний опис атаки на Pump

Нещодавно платформа Pump зазнала серйозної атаки. У цій статті буде проведено детальний аналіз події та розглянуто її уроки.

Процес атаки

Зловмисник не є надзвичайно кваліфікованим хакером, а, швидше за все, це колишній працівник Pump. Він отримав доступ до гаманця, який Pump використовує для створення торгових пар на Raydium. Цей рахунок називається "атакованим рахунком". У свою чергу, фондовий пул Bonding Curve LP, який ще не досяг стандарту для виходу на Raydium, називається "підготовчим рахунком".

Атакуючи, взявши кредит через闪电贷, заповнили всі грошові пулі, які ще не досягли стандартів Raydium. У нормальних умовах, коли пул досягає стандарту, SOL з "попереднього рахунку" буде переведено на "рахунок, що піддався атаці". Однак, атакуючий під час цього процесу витягнув переведений SOL, що призвело до того, що токени, які мали бути запущені на Raydium і заблокувати грошовий пул, не змогли завершити запуск (оскільки пул був очищений).

Аналіз жертв

Слід зазначити, що платформа швидких кредитів не зазнала втрат, оскільки кредит був повернений у тому ж блоці. Швидкі кредити використовуються лише для ініціювання операцій з переказу коштів.

Токен-проекти, які вже запущені на Raydium, не повинні бути під впливом, оскільки їхня ліквідність була заблокована.

Справжніми жертвами збитків є користувачі в резервуарах Pump, які ще не були заповнені до моменту атаки. Їхні вкладення SOL були вкрадені під час згаданої атаки. Це також пояснює, чому оцінка збитків є такою великою.

Припущення щодо причин атаки

По-перше, це безсумнівно результат поганого управління командою.

По-друге, ми можемо припустити, що наповнення фонду могло бути однією з робочих обов'язків зловмисника. Подібно до деяких проектів, які на ранніх етапах використовують роботи для моделювання активності торгівлі, Pump, можливо, також доручив зловмиснику заповнити фонд нововипущених токенів (швидше за все, більшість з них — це ті, що він сам випустив), щоб вони могли потрапити на Raydium і привернути увагу. Просто не очікували, що це в кінцевому підсумку стане проривом для внутрішньої загрози.

Уроки досвіду

1. Для імітаторів не слід наївно вважати, що просто скопіювавши зовнішній вигляд продукту, можна залучити користувачів. При управлінні платформою взаємодопомоги потрібно надати початковий імпульс.

2. Необхідно посилити управління правами, приділяючи велику увагу проблемам безпеки. Важливо розумно розподілити та контролювати ключові права, а також регулярно переглядати та оновлювати заходи безпеки.

3. Створення вдосконаленої системи внутрішнього контролю, що включає розподіл обов'язків, багаторазове уповноваження тощо, для зниження ризику одноточкового доступу.

4. Регулярно проводити аудит безпеки та пенетраційне тестування, своєчасно виявляти та виправляти потенційні уразливості.

5. Посилити підготовку співробітників, підвищити обізнаність у питаннях безпеки, встановити здорову корпоративну культуру, зменшити ймовірність внутрішніх загроз.

Ця подія ще раз нагадує нам, що в швидко розвиваючійся індустрії криптовалют безпека завжди є найважливішим чинником. Лише на міцній основі безпеки інновації можуть продовжувати здоровий розвиток.