作者:Charlemagne
编译:加密韋馱
Pump 被盗事件懒人包,感谢 @0x_charlemagne 老哥对事故原因的精彩分析,这里进行翻译并加上我一点个人推测。
攻击怎么进行?
首先这个攻击者 @STACCoverflow 并不是一个牛逼的黑客大神,而应该是 @pumpdotfun 的前员工。他拥有 Pump 用于创建每个土狗 Raydium 交易对这个功能权限的钱包账户,我们称之为「被黑账户」。而 Pump 上创建的土狗在没达到上 Raydium 标准前的所有 Bonding Curve LP 底池我们称为「预备账户」。
攻击者通过 @marginfi 借了一笔闪电贷来把所有已创建但是未被填满到可以上 Raydium 状态的池子全部填满。原本这时会发生的操作是本来存在虚拟池「预备账户」中里的 $Sol 因为达到了上 Raydium 的标准会被转入这个「被黑账户」。但此时攻击者抽走了转入进来的 $Sol,让这些本应该上 Raydium 并锁池子的 memecoin 都无法上 Raydium( 因为池子没钱)
那么,到底攻击者黑了谁的钱?
对此 @0x_charlemagne 老哥解释道:
首先肯定不是 @marginfi 的。因为闪电贷的钱在同区块归还,它的用途只是为了触发预备账户向被黑账户转钱这一个操作,不会损失
其次以往已经发到 Raydium 的土狗因为 LP 已经锁了,应该是不受影响 ( 个人推测 )
倒霉的应该是在这一攻击发生之前,整个 Pump 里所有尚未被填满的池子中,所有买进来了的用户,他们的 $Sol 都被上述攻击转走了。这也就解释了为什么说受损可能到 $80M 这么多(注:据***新信息,损失金额约为 200 万美元)。
为什么攻击者会有这个「被黑账户」私钥?
首先肯定是团队的管理不当,这个没得洗,跟 Blast 那个朝鲜爱国网络开发将领一样。
其次,我们可以猜测一下,这个填满池子可能本身就是这个攻击者之前的工作之一。就好比 Friendtech V1 去年 launch 的时候,有大量抢买你 key 的机器人,在***初的几天,大概率就是官方自己的,起到给 Key 做市,用于引导***初热度的作用。
可以大胆推测,当时 Pump 为了能做***初的冷启动,让攻击者负责用项目自己的钱去填发的币的池子(估计多数是自己发的,比如 $test $alon ) 让他们上 Raydium 然后拉盘制造关注度。只是没想到***后会成为内鬼的钥匙。
经验教训
首先,仿盘们一定要注意,不要傻傻只抄个皮毛,意味做好了产品放在那里就有人来交易了。搞互助盘你得提供一个初始推力。
然后一定要做好权限管理,注意安全。
WEEX唯客交易所是全球交易深度***好的合约交易所之一,位居CMC交易所流动性排名前五,订单厚度、价差领先同行,微秒级撮合,零滑点、零插针,***大程度降低交易成本及流动性风险,让用户面对极端行情也能丝滑成交。
WEEX交易所宣布将于今夏上线其全球生态激励通证WEEX Token(WXT)。WXT被设计为WEEX交易所生态系统的基石,作为动态激励机制,主要用于激励WEEX交易平台社区的合作伙伴、贡献者、先驱和活跃成员。
WXT总供应量100亿枚,初始流通量39亿枚,WEEX交易平台投资者保护基金、WXT生态基金各持有15%,15%用于持币激励,5%面向代理、渠道等合作伙伴私募,其余50%将全部用于WEEX交易所生态激励,包括:团队激励(20%)、活动拉新(15%)、品牌建设/KOL合作(15%)。WEEX Token是一种实用型代币,规划了丰富的使用场景和赋能机制,包括:Launchpad、近10项持有者专属权益,以及回购销毁通缩机制等。
据悉,WXT仅开放代理、渠道等合作伙伴折扣认购,未来零售投资者可通过新用户注册、交易挖矿、参与平台活动等方式获得WXT奖励。
(WEEX交易所官网:www.weex.com)WEEX官网:weex.com
WXT专区:weex.com/wxt
你也可以在 CMC|Coingecko|非小号|X (Twitter)|中文 X (Twitter)|Youtube|Facebook|Linkedin|微博 上关注我们,***时间获取更多投资资讯和空投福利。
在线咨询:
WEEX华语社群:https://t.me/weex_group
WEEX英文社群:https://t.me/Weex_Global
还没有评论,来说两句吧...