Pelancar Memecoin pump.fun dieksploitasi untuk $1.9 juta, bekas pekerja dipersalahkan

Pump.fun, alat pelancaran memecoin Solana, mendakwa bahawa seorang bekas pekerja mengeksploitasi protokol itu untuk hampir $2 juta dalam serangan "lengkung ikatan". Bekas pekerja itu menggunakan "kedudukan istimewa" untuk mengakses "menarik balik kuasa" dan menjejaskan sistem dalaman protokol, menurut siaran X 16 Mei dari pump.fun.

Kira-kira $1.9 juta telah dicuri daripada $45 juta yang dipegang dalam kontrak keluk ikatan pump.fun. Platform menjeda dagangan buat sementara waktu tetapi sejak itu telah menyambung semula operasi.

Pump.fun menegaskan bahawa kontrak pintarnya masih selamat dan pengguna yang terjejas akan memulihkan "100% daripada kecairan" dalam masa 24 jam akan datang.

Bekas pekerja dipersalahkan

Igor Igamberdiev, ketua penyelidikan di pembuat pasaran mata wang kripto Wintermute, mencadangkan penggodaman itu terhasil daripada kebocoran kunci peribadi dalaman. Dia mengesyaki pengguna X "STACCoverflow" berada di sebalik serangan itu.

STACCoverflow menyiarkan mesej samar pada X, menyatakan bahawa mereka "bakal mengubah perjalanan sejarah" dan "kemudian reput dalam penjara," sambil juga mendakwa "didoxx sepenuhnya."

Pump.fun telah bekerjasama dengan penguatkuasa undang-undang tetapi tidak menamakan bekas pekerja terbabit.

Pengeksploitasi menggunakan pinjaman kilat pada protokol pinjaman Solana Raydium untuk meminjam token Solana (SOL). Token ini kemudiannya digunakan untuk membeli syiling meme pump.fun.

Setelah syiling mencapai 100% pada keluk ikatan mereka, pengeksploitasi mengakses kecairan keluk ikatan untuk membayar balik pinjaman kilat. Antara 3:21 petang dan 5:00 petang UTC pada 16 Mei, kira-kira 12,300 SOL, bernilai $1.9 juta, telah dicuri.

Gotbit Hedge Fund pada mulanya menyatakan kebimbangan mengenai serangan di media sosial. Mereka mencatatkan dompet membeli semua token pada pump.fun dalam beberapa minit untuk mengisi keluk ikatan hingga 100%. Ini menyebabkan penyenaraian Raydium tersekat.

Buat masa ini, pump.fun memberi jaminan bahawa pengguna yang terjejas pada waktu tertentu akan memulihkan 100% atau lebih kecairan yang dipegang sebelum serangan.

Ini bukanlah satu-satunya eksploitasi sejak kebelakangan ini. Hanya sehari sebelum itu, protokol pinjaman untuk Sonne Finance telah digodam sebanyak $20 juta. Penyerang melarikan diri dengan $20 juta dalam aset kripto dengan mengeksploitasi kelemahan dalam versi kedua platform Kompaun.