Ex-alkalmazott 1,9 millió dollárt lopott a pump.fun platformról

A pump.fun állítása szerint egy volt alkalmazott kihasználta a rendszert és 1,9 millió dollárt lopott el a platform bonding curve szerződéseiből.

A pump.fun szerint az okos szerződéseik biztonságosak, és az érintett felhasználók a következő 24 órán belül visszakapják az összes korábbi likviditást -írja a Cointelegraph.

Az eset háttere

A Solana alapú memecoint létrehozó platform, a pump.fun, azt állítja, hogy egy volt alkalmazott kihasználta a platform rendszerét.  Közel 2 millió dollárt tulajdonított el egy „bonding curve” támadással (egy módszer, amelynél a tokenek ára a kereslet és kínálat függvényében dinamikusan változik). Az alkalmazott a „kiutalási jogosultság” (“withdraw authority”) használatával hozzáférést szerzett a protokoll belső rendszereihez. Így tudta végrehajtani a támadást.

A támadás részletei

A pump.fun május 16-i X bejegyzésében részletezte a támadást. A támadó a Raydium kölcsönzési protokollján keresztül flash kölcsönöket vett fel Solana tokenekben. Ezeket aztán felhasználta, hogy a lehető legtöbb tokent vásárolja meg. Amint ezek a tokenek elérték a 100%-ot a saját bonding curve-jaikon, a támadó hozzáférhetett a bonding curve likviditásához és visszafizette a flash kölcsönöket. Az eset során körülbelül 12,300 SOL (1,9 millió dollár értékben) került a támadó kezébe.

A támadó személye

Igor Igamberdiev, a Wintermute kriptopiaci kutatás vezetője azt állította, hogy a támadás egy belső privát kulcs szivárgása miatt következett be, amit valószínűleg az X felhasználó, „STACCoverflow” okozott. A „STACCoverflow” egy sor rejtélyes X bejegyzésben elismerte, hogy „megváltoztatják a történelem menetét és börtönben rohadnak meg”. Egy korábbi bejegyzésben pedig hozzátette, hogy „nem érdekli, mert már teljesen fel van tárva az identitása”.

Pump.fun

A platform reakciója

A támadás után a pump.fun ideiglenesen felfüggesztette a kereskedést, de mostanra újraindult. A platform szerint a smart contractok (okos szerződések) biztonságosak, és az érintett felhasználók 100%-ban visszakapják a likviditást, amit korábban birtokoltak, 24 órán belül. A pump.fun közölte, hogy együttműködnek a hatóságokkal a vizsgálat során, de nem nevezték meg a volt alkalmazottat.

A bonding curve támadások és hatásuk

A bonding curve támadás lényege, hogy a tokenek ára dinamikusan változik a kereslet és kínálat alapján. Ez lehetővé teszi a támadók számára, hogy jelentős likviditást szerezzenek, majd gyorsan profitáljanak belőle. Az ilyen támadások súlyosan érinthetik a platformok biztonságát és a felhasználók bizalmát.

Te mit gondolsz erről a hírről? Véleményedet elmondhatod Discord szerverünkön.