Memecoin launcher pump.fun explorado por US$ 1,9 milhão, ex-funcionário responsabilizado

Pump.fun, uma ferramenta de lançamento de memecoin Solana, alegou que um ex-funcionário explorou o protocolo por quase US$ 2 milhões em um ataque de “curva de vínculo”. O ex-funcionário usou uma “posição privilegiada” para acessar uma “autoridade de retirada” e comprometer os sistemas internos do protocolo, de acordo com o post X de 16 de maio de pump.fun.

Aproximadamente US$ 1,9 milhão foram roubados dos US$ 45 milhões mantidos nos contratos de curva de títulos da pump.fun. A plataforma interrompeu as negociações temporariamente, mas desde então retomou as operações.

Pump.fun afirmou que seus contratos inteligentes ainda são seguros e que os usuários afetados recuperariam “100% da liquidez” nas próximas 24 horas.

Ex-funcionário assume a culpa

Igor Igamberdiev, chefe de pesquisa da Wintermute, criadora de mercado de criptomoedas, sugeriu que o hack resultou de um vazamento interno de chave privada. Ele suspeitou que o usuário X “STACCoverflow” estava por trás do ataque.

STACCoverflow postou mensagens enigmáticas no X, afirmando que eles estavam “prestes a mudar o curso da história” e “depois apodrecer na prisão”, ao mesmo tempo que afirmava estar “totalmente doxxado”.

Pump.fun tem colaborado com as autoridades policiais, mas não revelou o nome do ex-funcionário envolvido.

O explorador usou empréstimos instantâneos no protocolo de empréstimo Solana Raydium para emprestar tokens Solana (SOL). Esses tokens foram então usados para comprar moedas meme do pump.fun.

Assim que as moedas atingiram 100% em suas curvas de títulos, o explorador acessou a liquidez da curva de títulos para pagar os empréstimos rápidos. Entre 15h21 e 17h UTC do dia 16 de maio, aproximadamente 12.300 SOL, avaliados em US$ 1,9 milhão, foram roubados.

O Gotbit Hedge Fund inicialmente sinalizou preocupações sobre o ataque nas redes sociais. Eles notaram uma carteira comprando todos os tokens no pump.fun em poucos minutos para preencher a curva de ligação em 100%. Isso fez com que as listagens do Raydium travassem.

A partir de agora, pump.fun garante que os usuários afetados durante as horas especificadas recuperarão 100% ou mais da liquidez mantida antes do ataque.

Esta não é a única exploração nos últimos tempos. Apenas um dia antes, o protocolo de empréstimo da Sonne Finance foi hackeado em US$ 20 milhões. O invasor escapou com US$ 20 milhões em ativos criptográficos ao explorar uma vulnerabilidade na segunda versão da plataforma Compound.