Memecoin-Starter pump.fun für 1,9 Millionen Dollar ausgenutzt, ehemaliger Mitarbeiter verantwortlich

Das Solana-Memecoin-Starttool pump.fun hat behauptet, ein ehemaliger Mitarbeiter habe das Unternehmen durch einen „Bonding Curve“-Angriff um fast 2 Millionen Dollar ausgebeutet. Der ehemalige Mitarbeiter nutzte eine „privilegierte Position“, um auf eine „Entzugsberechtigung“ zuzugreifen und die internen Systeme des Protokolls zu kompromittieren, so pump.funs X- Post vom 16. Mai.

Von den 45 Millionen Dollar, die in den Bonding-Curve-Verträgen von pump.fun gehalten wurden, wurden etwa 1,9 Millionen Dollar gestohlen. Die Plattform unterbrach den Handel vorübergehend, hat den Betrieb inzwischen aber wieder aufgenommen.

Pump.fun erklärte, dass seine Smart Contracts weiterhin sicher seien und dass betroffene Benutzer innerhalb der nächsten 24 Stunden „100 % der Liquidität“ erhalten würden.

Ehemaliger Mitarbeiter nimmt die Schuld auf sich

Igor Igamberdiev, Forschungsleiter beim Kryptowährungs -Marktmacher Wintermute, vermutete, dass der Hack auf ein internes Leck im privaten Schlüssel zurückzuführen sei. Er vermutete, dass der X-Benutzer „STACCoverflow“ hinter dem Angriff steckte.

STACCoverflow hat kryptische Nachrichten auf X gepostet, in denen es hieß, sie seien dabei, „den Lauf der Geschichte zu ändern“ und „dann im Gefängnis zu verrotten“, und behauptete gleichzeitig, sie seien „vollständig doxxed“.

Pump.fun hat mit den Strafverfolgungsbehörden zusammengearbeitet, den Namen des beteiligten ehemaligen Mitarbeiters jedoch nicht genannt.

Der Exploiter nutzte Flash-Kredite über das Solana-Kreditprotokoll Raydium, um Solana-Token (SOL) zu leihen. Diese Token wurden dann verwendet, um die Meme-Coins von pump.fun zu kaufen.

Sobald die Münzen 100 % ihrer Bindungskurven erreicht hatten, griff der Exploiter auf die Liquidität der Bindungskurve zu, um die Blitzkredite zurückzuzahlen. Zwischen 15:21 und 17:00 Uhr UTC am 16. Mai wurden etwa 12.300 SOL im Wert von 1,9 Millionen US-Dollar gestohlen.

Der Hedgefonds Gotbit äußerte zunächst Bedenken hinsichtlich des Angriffs in den sozialen Medien. Sie bemerkten, dass eine Wallet innerhalb von Minuten alle Token auf pump.fun kaufte, um die Bindungskurve zu 100 % zu füllen. Dies führte dazu, dass Raydium-Listings hängen blieben.

Pump.fun versichert ab sofort, dass betroffene Benutzer innerhalb der angegebenen Stunden 100 % oder mehr ihrer vor dem Angriff gehaltenen Liquidität zurückerhalten.

Dies ist nicht der einzige Exploit in jüngster Zeit. Erst einen Tag zuvor wurde das Kreditprotokoll von Sonne Finance gehackt und 20 Millionen Dollar gestohlen. Der Angreifer erbeutete Krypto-Assets im Wert von 20 Millionen Dollar, indem er eine Schwachstelle in der zweiten Version der Compound-Plattform ausnutzte.