ポンプの盗難分析と教訓

最近、Pumpプラットフォームは重大なセキュリティ事故に見舞われ、大量の資金が失われました。本稿ではこの事件を深く分析し、その中の教訓を検討します。

攻撃プロセス

攻撃者は高級ハッカーではなく、Pumpの元従業員である可能性が高いです。彼は、あるDEXで土狗トークンの取引ペアを作成するための権限を持つウォレットを掌握しており、これを「ターゲットアカウント」と呼びます。Pump上で作成された土狗トークンは、上場基準に達する前に、そのすべてのボンディングカーブLPプールが「予備アカウント」と呼ばれます。

攻撃者はフラッシュローンを利用して、すべての基準に達していないプールを満たしました。通常、この時「準備口座」にあるSOLは基準を満たすため「目標口座」に移されます。しかし、攻撃者はその隙を突いて移されたSOLを引き抜き、これらのはずのミームコインが予定通りに上場できなくなりました。

被害者分析

1. フラッシュローンプラットフォームは影響を受けていません。なぜなら、ローンは同じブロック内で返済されるからです。
2. DEXに上場している土狗トークンは、LPがロックされているため、影響を受けない可能性があります。
3. 主な被害者は、攻撃が発生する前に、Pumpプラットフォーム上のすべての未充填プールでトークンを購入したユーザーであり、彼らのSOLは移動されました。

攻撃の原因に関するディスカッション

1. プラットフォームには深刻な権限管理の脆弱性があります。
2. 攻撃者はトークンプールを満たす作業を担当していた可能性があります。特定のソーシャルプラットフォームが初期にロボットを使用してキーを転売し、注目を集めたように、Pumpは攻撃者がプロジェクト資金を使って自ら発行したトークンプール（例：$test、$alonなど）を充填することを任せ、注目を集めることができるかもしれません。

学んだ教訓

1. 模倣者に対しては、表面的な機能だけに注目してはいけません。製品の外観を単にコピーするだけではユーザーを引き付けるには不十分であり、初期の推進力を提供する必要があります。

2. 権限管理を強化し、安全意識を高める。従業員の権限を適切に割り当て制限し、定期的にキーを更新し、マルチシグネチャメカニズムを構築することは、必要な安全対策です。

3. 完璧な内部統制システムを構築する。人事管理、資金管理、キー管理などの複数の側面を含み、内部の人員による権限の濫用を防ぐ。

4. コード監査とバグバウンティプログラムを重視する。定期的にセキュリティ監査を行い、ホワイトハットハッカーが脆弱性を発見して報告することを奨励する。

5. ユーザーのリスク意識を高める。プラットフォームは、潜在的なリスクをユーザーに明確に伝え、ハードウェアウォレットの使用など、安全対策を講じるようにユーザーを促すべきである。

6. 緊急対応メカニズムを確立する。詳細な緊急計画を策定し、安全事故が発生した場合には迅速に対応し、損失を最大限に抑える。

この事件は、Web3プロジェクトが急速に発展する中で基本的なセキュリティ原則を無視してはいけないことを再び警告しています。革新と安全の間でバランスを見つけることで、初めて業界の健全な発展を促進することができます。