Memecoin launcher pump.fun uitgebuit voor $1,9 miljoen, ex-werknemer beschuldigd

Pump.fun, een tool voor het lanceren van memecoins van Solana, beweerde dat een voormalige werknemer het protocol voor bijna $ 2 miljoen had uitgebuit in een 'bonding curve'-aanval. De ex-werknemer gebruikte een “bevoorrechte positie” om toegang te krijgen tot een “intrekkingsbevoegdheid” en de interne systemen van het protocol in gevaar te brengen, aldus de X- post van pump.fun van 16 mei.

Er werd ongeveer $1,9 miljoen gestolen van de $45 miljoen die in de bonding curve-contracten van Pump.fun zat. Het platform heeft de handel tijdelijk stopgezet, maar is sindsdien weer operationeel.

Pump.fun beweerde dat zijn slimme contracten nog steeds veilig zijn en dat de getroffen gebruikers binnen de komende 24 uur "100% van de liquiditeit" zouden terugkrijgen.

Oud-werknemer neemt de schuld op zich

Igor Igamberdiev, hoofd onderzoek bij cryptocurrency- marktmaker Wintermute, suggereerde dat de hack het gevolg was van een intern lek van privésleutels. Hij vermoedde dat X-gebruiker "STACCoverflow" achter de aanval zat.

STACCoverflow plaatste cryptische berichten op X, waarin stond dat ze "op het punt stonden de loop van de geschiedenis te veranderen" en "vervolgens in de gevangenis te rotten", terwijl ze ook beweerden "volledig doxxed" te zijn.

Pump.fun heeft samengewerkt met de wetshandhaving, maar heeft de betrokken voormalige medewerker niet genoemd.

De uitbuiter gebruikte flitsleningen op het Solana-leningsprotocol Raydium om Solana (SOL) -tokens te lenen. Deze tokens werden vervolgens gebruikt om de mememunten van pump.fun te kopen.

Zodra de munten 100% van hun obligatiecurve bereikten, maakte de exploitant gebruik van de liquiditeit van de obligatiecurve om de flitsleningen terug te betalen. Tussen 15.21 uur en 17.00 uur UTC op 16 mei werd ongeveer 12.300 SOL, ter waarde van $ 1,9 miljoen, gestolen.

Gotbit Hedge Fund uitte aanvankelijk zorgen over de aanval op sociale media. Ze merkten dat een portemonnee binnen enkele minuten alle tokens op pump.fun kocht om de bondingcurve tot 100% te vullen. Dit zorgde ervoor dat Raydium-vermeldingen vastliepen.

Vanaf nu verzekert pump.fun dat gebruikers die tijdens de gespecificeerde uren getroffen zijn, 100% of meer van de liquiditeit die vóór de aanval werd aangehouden, zullen terugkrijgen.

Dit is bepaald niet de enige exploit van de afgelopen tijd. Nog maar een dag eerder werd het leenprotocol voor Sonne Finance gehackt voor 20 miljoen dollar. De aanvaller ging er met $20 miljoen aan crypto-activa vandoor door misbruik te maken van een kwetsbaarheid in de tweede versie van het Compound-platform.