Memecoin launcher pump.fun udnyttet for 1,9 millioner dollars, fik tidligere ansat skylden

Pump.fun, et Solana memecoin-lanceringsværktøj, hævdede, at en tidligere medarbejder udnyttede protokollen for næsten $2 millioner i et "bonding curve"-angreb. Den tidligere medarbejder brugte en "privilegeret stilling" til at få adgang til en "tilbagetrækningsautoritet" og kompromittere protokollens interne systemer, ifølge pump.funs X- indlæg den 16. maj.

Cirka 1,9 millioner dollars blev stjålet fra de 45 millioner dollars, der var indeholdt i pump.funs kontrakter om bindingskurve. Platformen stoppede handel midlertidigt, men har siden genoptaget driften.

Pump.fun hævdede, at dets smarte kontrakter stadig er sikre, og at berørte brugere ville genvinde "100 % af likviditeten" inden for de næste 24 timer.

Tidligere medarbejder tager skylden

Igor Igamberdiev, forskningschef hos cryptocurrency market maker Wintermute, foreslog, at hacket skyldtes en intern privat nøglelæk. Han mistænkte, at X-brugeren "STACCoverflow" stod bag angrebet.

STACCoverflow udsendte kryptiske beskeder på X, hvori de sagde, at de var "ved at ændre historiens gang" og "så rådne i fængsel", mens de også hævdede at være "fuldstændig doxxed."

Pump.fun har samarbejdet med ordensmagten, men har ikke navngivet den tidligere involverede medarbejder.

Udbytteren brugte flashlån på Solana-udlånsprotokollen Raydium til at låne Solana-tokens (SOL). Disse tokens blev derefter brugt til at købe pump.funs meme-mønter.

Når mønterne nåede 100 % på deres bindingskurver, fik udnytteren adgang til bindingskurvens likviditet for at tilbagebetale flashlånene. Mellem kl. 15.21 og 17.00 UTC den 16. maj blev der stjålet cirka 12.300 SOL til en værdi af 1,9 millioner USD.

Gotbit Hedge Fund udtalte oprindeligt bekymringer om angrebet på sociale medier. De noterede en tegnebog, der købte alle tokens på pump.fun inden for få minutter for at fylde bindingskurven til 100 %. Dette fik Raydium-lister til at sidde fast.

Fra nu af forsikrer pump.fun, at brugere, der er berørt i løbet af de angivne timer, vil genvinde 100 % eller mere af den likviditet, som var beholdt før angrebet.

Dette er næppe den eneste udnyttelse i nyere tid. Blot en dag før blev udlånsprotokollen for Sonne Finance hacket for 20 millioner dollars. Angriberen slap af sted med $20 millioner i kryptoaktiver ved at udnytte en sårbarhed i den anden version af Compound-platformen.