Memecoin launcher pump.fun utnyttet for 1,9 millioner dollar, tidligere ansatt klandret
- Tidligere ansatt utnyttet pump.fun for nesten 2 millioner dollar gjennom et bindingskurveangrep.
- Plattformen stoppet først handelen, men gjenopptok, og forsikret brukerne om full likviditetsgjenoppretting.
- Angriperen brukte flashlån på Raydium for å stjele omtrent 12 300 SOL.
Pump.fun, et Solana memecoin lanseringsverktøy, påsto at en tidligere ansatt utnyttet protokollen for nesten 2 millioner dollar i et “bonding curve” angrep. Eks-ansatte brukte en “privilegert stilling” for å få tilgang til en “uttaksmyndighet” og kompromittere protokollens interne systemer, ifølge pump.funs X- innlegg 16. mai.
Omtrent 1,9 millioner dollar ble stjålet fra de 45 millioner dollar som ble holdt i pump.funs bonding-kurvekontrakter. Plattformen stoppet handelen midlertidig, men har siden gjenopptatt driften.
Pump.fun hevdet at deres smarte kontrakter fortsatt er sikre, og at berørte brukere vil gjenvinne “100 % av likviditeten” innen de neste 24 timene.
Tidligere ansatt tar på seg skylden
Copy link to sectionIgor Igamberdiev, forskningssjef hos produsent av kryptovaluta- markeder Wintermute, antydet at hacket var et resultat av en intern privat nøkkellekkasje. Han mistenkte at X-brukeren «STACCoverflow» sto bak angrepet.
STACCoverflow la ut kryptiske meldinger på X, der de sa at de var “i ferd med å endre historiens gang” og “så råtne i fengsel”, mens de også hevdet å være “fullstendig doxxed.”
Pump.fun har samarbeidet med politi, men har ikke navngitt den tidligere ansatte som var involvert.
Utnytteren brukte flash-lån på Solana-utlånsprotokollen Raydium for å låne Solana-tokens (SOL). Disse tokenene ble deretter brukt til å kjøpe pump.funs meme-mynter.
Når myntene nådde 100 % på bindingskurvene, fikk utnytteren tilgang til likviditeten i bindingskurven for å tilbakebetale flashlånene. Mellom 15:21 og 17:00 UTC 16. mai ble omtrent 12 300 SOL, verdt 1,9 millioner dollar, stjålet.
Gotbit Hedge Fund flagget først bekymringer om angrepet på sosiale medier. De la merke til en lommebok som kjøpte alle tokens på pump.fun i løpet av minutter for å fylle bindingskurven til 100 %. Dette førte til at Raydium-oppføringer ble sittende fast.
Fra nå av forsikrer pump.fun at brukere som er berørt i løpet av de angitte timene vil gjenvinne 100 % eller mer av likviditeten før angrepet.
Dette er neppe den eneste utnyttelsen i nyere tid. Bare en dag før ble utlånsprotokollen til Sonne Finance hacket for 20 millioner dollar. Angriperen slapp unna med 20 millioner dollar i kryptoaktiva ved å utnytte en sårbarhet i den andre versjonen av Compound-plattformen.
Denne artikkelen er oversatt fra engelsk ved hjelp av AI-verktøy, og deretter korrekturlest og redigert av en lokal oversetter.
More industry news
