Атака на платформу мем-монет на Solana: втрати $2 мільйони

Атака зсередини видобула $2 мільйони з платформи мем-монет Pump.fun на Solana

16 травня о 15:21 UTC платформа створення мем-монет pump.fun в екосистемі Solana (SOL) була використана. Інцидент призвів до втрати приблизно 12 300 SOL, що наразі коштує майже $2 мільйони за поточними ринковими цінами.

Атакувальник маніпулював платформою, використовуючи миттєві кредити від Margin.fi, щоб отримати SOL та купувати токени pump.fun без використання своїх власних коштів. Це останнє використання викликало шок у криптогрошному співтоваристві. Від Інсайдера до Атакувальника: Пробій Безпеки Pump.fun

Початково виявлено за адресою гаманця 7ihN8QaTfNoDTRTQGULCzbUT3PHwPDTu5Brcu4iT2paP, атакувальник використовував pump.fun, купуючи всі токени нових проектів, запущених на платформі, за кілька хвилин. Ця дія вивела криву зв`язку на її межу.

У секторі децентралізованих фінансів (DeFi) крива зв`язку є розумним контрактом, який створює ринок для токенів без покладання на криптобіржі. Тому, як це було задумано, маніпулювання перешкодило токенам лістингуватися на Raydium DEX, децентралізованій біржі на Solana. Використання Миттєвого Кредиту Атакувальником pump.fun. Джерело: Solscan

У відповідь на атаку pump.fun покращив свої контракти для запобігання подальших зловживань. Крім того, команда призупинила торгівлю та запевнила користувачів, що загальна вартість заблокованих активів (TVL) протоколу є в безпеці.

`Ми зобов`язані забезпечити безпеку наших користувачів і співпрацюємо з відповідними сторонами, включаючи правоохоронні органи, для мінімізації збитків`, - зазначила команда.

Цікаво, що атакувальник був колишнім співробітником pump.fun - Джаррет, більш відомим під псевдонімом STACCOverflow. Джаррет висловив своє незадоволення компанією в соціальних мережах, вказавши свій намір нарушити платформу.

`Такі жахливі боси, які бачать, як ти руйнуєш руку, питають, що сталося, ти відповідаєш, що тебе вдарив скляний стіл, і вони кажуть: `Цей стіл в порядку?` - не ті люди, які ви хочете бачити передовими фігурами у блокчейні`, - написав Джаррет після атаки.

Він уточнив, що має план та хоче `змінити хід історії`. Більше того, він заявив, що не турбується про те, що піде в тюрму.

Окремо Джаррет також заявив, що розподілить свої здобутки через airdrop серед різних спільнот, включаючи Slerf, Stacc, Saga та Risklol. За його рішенням провести airdrop, деякі у криптогрошевому співтоваристві називають його `Robinhood у світі Web3`.

Близько п`яти годин після початкового оголошення pump.fun опублікував пост-мортем. Вони повторно розгорнули контракти та відновили торгівлю з 0% комісією на найближчі сім днів. Вони також зобов`язались посіяти ризики ліквідності для токенів, що постраждали, для відновлення функціональності торгівлі.

`Монети, які досягли 100% між 15:21 - 17:00 UTC, знаходяться в лімбо, що означає, що ніхто не може ними торгувати, доки для них не будуть розгорнуті ліквідні пули на Raydium. Щоб зробити користувачів цілими, команда pump.fun посіє LPs для кожної постраждалої монети рівною або більшою кількістю SOL ліквідності, ніж монета мала о 15:21 UTC протягом наступних 24 годин. [...] Монети Solana повертаються, і ніжніше, ніж будь-коли`, - написала команда pump.fun.

Хоча pump.fun заявляє, що вже повернулася, криптогрошеве співтовариство повинно залишатися бджолирним. Деякі шахраї намагаються скористатися інцидентом, видаючи себе за команду pump.fun та поширюючи зловмисні посилання, вказуючи на компенсацію.