Den 16. maj kl. 15:21 UTC blev pump.fun, en platform til oprettelse af meme-mønter i Solana-økosystemet (SOL), udnyttet. Hændelsen resulterede i et tab på ca. 12.300 SOL, som er næsten 2 millioner dollars værd til de nuværende markedspriser.
Angriberen manipulerede platformen ved hjælp af flash-lån fra Margin.fi for at få SOL og købe pump.fun-tokens uden at bruge deres egne midler. Denne nylige udnyttelse har sendt chokbølger gennem kryptosamfundet.
Fra insider til angriber: Pump.fun-sikkerhedsbruddet
Angriberen, der oprindeligt blev identificeret med wallet-adressen 7ihN8QaTfNoDTRTQGULCzbUT3PHwPDTu5Brcu4iT2paP, udnyttede pump.fun ved at købe alle tokens fra nye projekter, der blev lanceret på platformen inden for få minutter. Denne handling skubbede bindingskurven til sin grænse.
I den decentrale finanssektor (DeFi) er bonding curve en smart kontrakt, der skaber et marked for tokens uden at være afhængig af kryptobørser. Derfor forhindrede manipulationen efter hensigten, at tokens blev noteret på Raydium DEX, en decentral børs i Solana.
Læs mere om dette: Top 5 fejl i kryptosikkerhed og hvordan man undgår dem
Som svar på angrebet opgraderede pump.fun sine kontrakter for at forhindre yderligere udnyttelse. Desuden satte teamet handlen på pause og forsikrede brugerne om, at protokollens samlede låste værdi (TVL) var sikker.
“Vi er forpligtet til at sikre vores brugeres sikkerhed og samarbejder med relevante parter, herunder de retshåndhævende myndigheder, for at minimere skaden,” udtalte teamet.
Interessant nok var angriberen en tidligere medarbejder hos pump.fun-Jarrett, bedre kendt under pseudonymet STACCOverflow. Jarrett udtrykte sin utilfredshed med virksomheden på de sociale medier og erklærede, at han havde til hensigt at forstyrre platformen.
“Den slags forfærdelige chefer, der ser dig ødelægge din hånd, spørger dig, hvad der skete, du sagde, at glasbordet fik dig, og de siger ‘er det bord ok?’, er ikke den type mennesker, du vil have i front som blockchains ansigt”, skrev Jarrett efter angrebet.
Han præciserede, at han har en plan og ønsker at “ændre historiens gang”. Desuden sagde han, at han ikke er bekymret for at komme i fængsel.
I et andet indlæg skrev Jarrett også, at han ville distribuere sit bytte gennem en airdrop blandt forskellige communities, herunder Slerf, Stacc, Saga og Risklol. På grund af hans beslutning om at foretage airdrop har nogle i kryptosamfundet kaldt ham “Web3 Robinhood”.
Omkring fem timer efter den første meddelelse offentliggjorde pump.fun et post-mortem. De omfordelte kontrakter og genoptog handlen med 0 % gebyrer i de næste syv dage. De forpligtede sig også til at oprette likviditetspuljer (LP’er) for berørte mønter for at genoprette handelsfunktionaliteten.
Læs mere her: Sikkerhed i kryptoprojekter: En guide til tidlig opdagelse af trusler
“Mønter, der nåede 100% mellem 15:21 – 17:00 UTC, er i limbo, hvilket betyder, at ingen kan handle med dem, før LP’er er implementeret for dem på Raydium. For at gøre brugerne raske vil pump.fun-teamet så LP’erne for hver berørt mønt med en lige så stor eller større mængde SOL-likviditet, end mønten havde kl. 15:21 UTC inden for de næste 24 timer. […] Solana sh*tcoins er tilbage og større end nogensinde,” skrev pump.fun-teamet.
Selv om pump.fun hævder, at den allerede er vendt tilbage, skal kryptosamfundet fortsat være på vagt. Nogle svindlere forsøger at drage fordel af hændelsen ved at udgive sig for at være pump.fun-teamet og dele ondsindede links, der hævder at være refusionslinks.
Disclaimer
Alle oplysninger på vores hjemmeside offentliggøres i god tro og kun til generelle informationsformål. Enhver handling, der foretages af læserne på grundlag af oplysningerne på vores hjemmeside, er udelukkende på egen risiko.