Pump.fun, narzędzie do uruchamiania memecoinów Solana, zarzuciło, że były pracownik wykorzystał protokół za prawie 2 miliony dolarów w celu ataku polegającego na „krzywej więzi”. Według postu X z 16 maja, były pracownik wykorzystał „uprzywilejowaną pozycję”, aby uzyskać dostęp do „organu wycofania” i narazić na szwank wewnętrzne systemy protokołu.
Z 45 milionów dolarów zawartych w kontraktach na krzywą obligacji Pump.fun skradziono około 1,9 miliona dolarów. Platforma tymczasowo wstrzymała handel, ale od tego czasu wznowiła działalność.
Pump.fun zapewnił, że jego inteligentne kontrakty są nadal bezpieczne i że dotknięci użytkownicy odzyskają „100% płynności” w ciągu najbliższych 24 godzin.
Były pracownik bierze winę na siebie
Igor Igamberdiev, szef działu badań u producenta rynku kryptowalut Wintermute, zasugerował, że włamanie było wynikiem wewnętrznego wycieku klucza prywatnego. Podejrzewał, że za atakiem stoi użytkownik X „STACCoverflow”.
STACCoverflow zamieścił na X tajemnicze wiadomości, w których stwierdził, że „zaraz zmieni bieg historii” i „potem zgnije w więzieniu”, jednocześnie twierdząc, że jest „całkowicie oszołomiony”.
Pump.fun współpracuje z organami ścigania, ale nie podał nazwiska byłego pracownika zaangażowanego w tę sprawę.
Eksploit użył pożyczek flash w protokole pożyczkowym Solana Raydium, aby pożyczyć tokeny Solana (SOL). Tokeny te zostały następnie wykorzystane do zakupu monet memów Pump.fun.
Gdy monety osiągnęły 100% na krzywych obligacji, wyzyskiwacz uzyskał dostęp do płynności krzywej obligacji, aby spłacić pożyczki błyskawiczne. 16 maja między 15:21 a 17:00 czasu UTC skradziono około 12 300 SOL o wartości 1,9 miliona dolarów.
Gotbit Hedge Fund początkowo wyraził obawy związane z atakiem w mediach społecznościowych. Zauważyli, że portfel kupuje wszystkie tokeny na Pump.fun w ciągu kilku minut, aby wypełnić krzywą więzi do 100%. To spowodowało, że aukcje Raydium utknęły.
Obecnie Pump.fun gwarantuje, że użytkownicy dotknięci atakiem w określonych godzinach odzyskają 100% lub więcej płynności przechowywanej przed atakiem.
To nie jedyny exploit w ostatnim czasie. Zaledwie dzień wcześniej zhakowano protokół pożyczkowy Sonne Finance na 20 milionów dolarów. Atakujący uciekł z aktywami kryptograficznymi o wartości 20 milionów dolarów, wykorzystując lukę w drugiej wersji platformy Compound.
The post Wyrzutnia memecoinów Pump.fun wykorzystana za 1,9 miliona dolarów, obwinia byłego pracownika appeared first on Invezz
Ten artykuł został pierwotnie opublikowany przez Invezz.com
