Memecoin başlatıcısı Pump.fun 1,9 milyon dolara sömürüldü, eski çalışan suçlandı

Solana memecoin fırlatma aracı Pump.fun, eski bir çalışanın "bağlanma eğrisi" saldırısında protokolü yaklaşık 2 milyon dolar karşılığında istismar ettiğini iddia etti. Pump.fun'un 16 Mayıs X gönderisine göre eski çalışan, "geri çekilme yetkisine" erişmek ve protokolün dahili sistemlerini tehlikeye atmak için "ayrıcalıklı bir pozisyon" kullandı.

Pump.fun'un tahvil eğrisi sözleşmelerinde tutulan 45 milyon dolardan yaklaşık 1,9 milyon dolar çalındı. Platform ticareti geçici olarak duraklattı ancak daha sonra faaliyetlerine yeniden başladı.

Pump.fun, akıllı sözleşmelerinin hâlâ güvende olduğunu ve etkilenen kullanıcıların önümüzdeki 24 saat içinde "likiditenin %100'ünü" geri kazanacağını ileri sürdü.

Eski çalışan suçu üstlendi

Kripto para piyasası üreticisi Wintermute'un araştırma başkanı Igor Igamberdiev, saldırının dahili bir özel anahtar sızıntısından kaynaklandığını öne sürdü. Saldırının arkasında "STACCoverflow" adlı X kullanıcısının olduğundan şüpheleniyordu.

STACCoverflow, X'te şifreli mesajlar yayınlayarak bunların "tarihin gidişatını değiştirmek üzere olduklarını" ve "sonra hapiste çürüyeceklerini" belirtirken aynı zamanda "tamamen ifşa edildiğini" iddia etti.

Pump.fun kolluk kuvvetleriyle işbirliği yapıyor ancak olaya karışan eski çalışanın adını vermedi.

İstismarcı, Solana (SOL) tokenlerini ödünç almak için Solana borç verme protokolü Raydium üzerinden flaş krediler kullandı. Bu jetonlar daha sonra Pump.fun'un meme paralarını satın almak için kullanıldı.

Madeni paralar tahvil eğrilerinde %100'e ulaştığında, sömürücü flaş kredileri geri ödemek için tahvil eğrisi likiditesine erişti. 16 Mayıs saat 15:21 ile 17:00 UTC arasında, 1,9 milyon dolar değerindeki yaklaşık 12.300 SOL çalındı.

Gotbit Hedge Fund, başlangıçta sosyal medyada saldırıyla ilgili endişelerini dile getirdi. Bağlanma eğrisini %100'e doldurmak için birkaç dakika içinde Pump.fun'daki tüm tokenleri satın alan bir cüzdan fark ettiler. Bu, Raydium listelerinin takılıp kalmasına neden oldu.

Şu an itibariyle, Pump.fun, saldırıdan etkilenen kullanıcıların belirli saatlerde saldırıdan önce tuttukları likiditenin %100 veya daha fazlasını geri kazanacağını garanti ediyor.

Son zamanlardaki tek istismar bu değil. Sadece bir gün önce, Sonne Finance'in kredi protokolü 20 milyon dolar değerinde hacklendi. Saldırgan, Compound platformunun ikinci versiyonundaki bir güvenlik açığından yararlanarak 20 milyon dolarlık kripto varlığını ele geçirdi.