Den 16 maj kl. 15:21 UTC utnyttjades Pump.fun, en plattform för skapande av meme-mynt i Solana (SOL)-ekosystemet. Incidenten resulterade i en förlust av cirka 12 300 SOL, värt nästan 2 miljoner dollar till nuvarande marknadspriser.
Angriparen manipulerade plattformen med hjälp av flashlån från Margin.fi för att få SOL och köpa pump.fun-tokens utan att använda sina egna medel. Denna senaste exploatering har skickat chockvågor genom kryptosamhället.
Från insider till angripare: Pump.fun-säkerhetsöverträdelsen
Ursprungligen identifierad av plånboksadressen 7ihN8QaTfNoDTRTQGULCzbUT3PHwPDTu5Brcu4iT2paP, utnyttjade angriparen pump.fun genom att köpa alla tokens för nya projekt som lanserades på plattformen inom några minuter. Denna åtgärd pressade bondingkurvan till sin gräns.
I den decentraliserade finanssektorn (DeFi) är bondingkurvan ett smart kontrakt som skapar en marknad för tokens utan att förlita sig på kryptobörser. Därför, som avsett, hindrade manipulationen tokens från att noteras på Raydium DEX, en decentraliserad börs i Solana.
Läs mer om detta: Topp 5 brister i kryptosäkerhet och hur man undviker dem
Som svar på attacken uppgraderade pump.fun sina kontrakt för att förhindra ytterligare exploatering. Dessutom pausade teamet handeln och försäkrade användarna om att protokollets totala värde låst (TVL) var säkert.
“Vi är fast beslutna att säkerställa våra användares säkerhet och samarbetar med relevanta parter, inklusive brottsbekämpande myndigheter, för att minimera skadan”, uppgav teamet.
Intressant nog var angriparen en tidigare anställd hos pump.fun-Jarrett, bättre känd under pseudonymen STACCOverflow. Jarrett uttryckte sitt missnöje med företaget på sociala medier och uppgav sin avsikt att störa plattformen.
“Den typ av hemska chefer som bevittnar att du förstör din hand, frågar dig vad som hände, och när du säger att glasbordet orsakade det, svarar med “är bordet okej?” är inte den typ av människor du vill ha som ansiktet utåt för blockkedjan”, skrev Jarrett efter attacken.
Han förtydligade att han har en plan och vill “ändra historiens gång”. Dessutom uppgav han att han inte är orolig för att hamna i fängelse.
I ett separat inlägg uppgav Jarrett också att han skulle distribuera sin byte genom en airdrop bland olika samhällen, inklusive Slerf, Stacc, Saga och Risklol. På grund av hans beslut att göra airdrop har vissa i kryptosamhället kallat honom “Web3 Robinhood”.
Cirka fem timmar efter det första tillkännagivandet publicerade pump.fun en post-mortem. De omfördelade kontrakt och återupptog handeln med 0% avgifter under de kommande sju dagarna. De åtog sig också att sådd likviditetspooler (LP) för drabbade mynt för att återställa handelsfunktionaliteten.
Läs mer om detta: Säkerhet för kryptoprojekt: En guide till tidig upptäckt av hot
“Mynt som nådde 100% mellan 15:21 – 17:00 UTC är i limbo, vilket innebär att ingen kan handla med dem förrän LP:er distribueras för dem på Raydium. För att göra användarna hela kommer pump.fun-teamet att så LP:erna för varje påverkat mynt med en lika stor eller större mängd SOL-likviditet än vad myntet hade 15:21 UTC inom de kommande 24 timmarna. […] Solana sh * tcoins är tillbaka och större än någonsin, ” skrev pump.fun-teamet.
Även om pump.fun hävdade att det redan har återvänt måste kryptosamhället förbli vaksamt. Vissa bedragare försöker dra nytta av händelsen genom att maskera sig som pump.fun-teamet och dela skadliga länkar som påstår sig vara återbetalningslänkar.
Disclaimer
All information på vår webbplats publiceras i god tro och endast för allmän information. Varje åtgärd som läsaren vidtar baserat på informationen på vår webbplats sker strikt på egen risk.
