Il launcher di Memecoin pump.fun è stato sfruttato per 1,9 milioni di dollari, accusato un ex dipendente

Pump.fun, uno strumento di lancio dei memecoin di Solana, ha affermato che un ex dipendente ha sfruttato il protocollo per quasi 2 milioni di dollari in un attacco "curva di legame". Secondo il post X di pump.fun del 16 maggio, l'ex dipendente ha utilizzato una "posizione privilegiata" per accedere a un'"autorità di ritiro" e compromettere i sistemi interni del protocollo.

Circa 1,9 milioni di dollari sono stati rubati dai 45 milioni di dollari detenuti nei contratti della curva obbligazionaria di pump.fun. La piattaforma ha sospeso temporaneamente le negoziazioni, ma da allora ha ripreso le operazioni.

Pump.fun ha affermato che i suoi contratti intelligenti sono ancora sicuri e che gli utenti interessati recupereranno "il 100% della liquidità" entro le prossime 24 ore.

La colpa è dell'ex dipendente

Igor Igamberdiev, capo della ricerca presso il market maker di criptovalute Wintermute, ha suggerito che l'hacking sia il risultato di una fuga di chiave privata interna. Sospettava che dietro l'attacco ci fosse l'utente X "STACcoverflow".

STACCoverflow ha pubblicato messaggi criptici su X, affermando che stavano "per cambiare il corso della storia" e "poi marcirebbero in prigione", sostenendo anche di essere "completamente derubati".

Pump.fun ha collaborato con le forze dell'ordine ma non ha nominato l'ex dipendente coinvolto.

Lo sfruttatore ha utilizzato prestiti flash sul protocollo di prestito Solana Raydium per prendere in prestito token Solana (SOL). Questi token sono stati poi utilizzati per acquistare le monete meme di pump.fun.

Una volta che le monete raggiungevano il 100% sulle loro curve obbligazionarie, lo sfruttatore accedeva alla liquidità della curva obbligazionaria per ripagare i prestiti flash. Tra le 15:21 e le 17:00 UTC del 16 maggio, sono stati rubati circa 12.300 SOL, per un valore di 1,9 milioni di dollari.

Gotbit Hedge Fund inizialmente ha espresso preoccupazione per l'attacco sui social media. Hanno notato un portafoglio che acquistava tutti i token su pump.fun in pochi minuti per riempire la curva di legame al 100%. Ciò ha causato il blocco degli elenchi di Raydium.

A partire da ora, pump.fun assicura che gli utenti colpiti durante gli orari specificati recupereranno il 100% o più della liquidità detenuta prima dell'attacco.

Questo non è certo l’unico exploit degli ultimi tempi. Solo un giorno prima, il protocollo di prestito di Sonne Finance era stato violato per 20 milioni di dollari. L'aggressore è riuscito a farla franca con 20 milioni di dollari in criptovalute sfruttando una vulnerabilità nella seconda versione della piattaforma Compound.