Op 16 mei om 15:21 UTC werd pump.fun, een platform voor het maken van meme coins in het Solana (SOL) ecosysteem, misbruikt. Het incident resulteerde in een verlies van ongeveer 12.300 SOL, ter waarde van bijna $2 miljoen tegen de huidige koers.
De aanvaller manipuleerde het platform door gebruik te maken van flitsleningen van Margin.fi om SOL te verkrijgen en de pump.fun tokens te kopen zonder hun eigen fondsen te gebruiken. Deze recente uitbuiting heeft schokgolven door de crypto community gestuurd.
Van insider tot aanvaller: de beveiligingsschending bij Pump.fun
Aanvankelijk geïdentificeerd door het wallet-adres 7ihN8QaTfNoDTRTQGULCzbUT3PHwPDTu5Brcu4iT2paP, maakte de aanvaller misbruik van pump.fun door binnen enkele minuten alle tokens te kopen van nieuwe projecten die op het platform werden gelanceerd. Deze actie duwde de bindingscurve naar zijn limiet.
In de sector van decentralized finance (DeFi) is de bonding curve een smart contract dat een markt voor tokens creëert zonder afhankelijk te zijn van cryptobeurzen. Daarom verhinderde de manipulatie, zoals de bedoeling was, de notering van de tokens op Raydium DEX, een gedecentraliseerde exchange in Solana.
Lees meer: Top 5 Flaws in Crypto Security en hoe ze te vermijden
Als reactie op de aanval heeft pump.fun zijn contracten geüpgraded om verdere uitbuiting te voorkomen. Bovendien heeft het team de handel gepauzeerd en gebruikers verzekerd dat het protocol Total Value Locked (TVL) veilig is.
“We doen er alles aan om de veiligheid van onze gebruikers te waarborgen en werken samen met relevante partijen, waaronder de rechtshandhavingsinstanties, om de schade te beperken”, aldus het team.
Interessant genoeg was de aanvaller een voormalige medewerker van pump.fun-Jarrett, beter bekend onder het pseudoniem STACCOverflow. Jarrett uitte zijn ongenoegen over het bedrijf op social media en gaf aan het platform te willen verstoren.
“Het soort verschrikkelijke bazen dat getuige is van je hand, je vraagt wat er is gebeurd, je zegt dat de glazen tafel je te pakken heeft en ze gaan van ‘is die tafel ok?’ is niet het soort mensen dat je vooraan in het midden wilt hebben als het gezicht van blockchain,” schreef Jarrett na de aanval.
Hij verduidelijkte dat hij een plan heeft en “de loop van de geschiedenis wil veranderen”. Bovendien verklaarde hij dat hij zich geen zorgen maakt over een gevangenisstraf.
In een aparte post verklaarde Jarrett ook dat hij zijn buit zou verdelen via een airdrop onder verschillende communities, waaronder Slerf, Stacc, Saga en Risklol. Vanwege zijn beslissing om de airdrop te doen, hebben sommigen in de cryptogemeenschap hem de “Web3 Robinhood” genoemd.
Ongeveer vijf uur na de eerste aankondiging publiceerde pump.fun een post-mortem. Ze herschikten contracten en hervatten de handel met 0% kosten voor de komende zeven dagen. Ze hebben ook toegezegd om liquiditeitspools (LP’s) te zaaien voor de getroffen coins om de handelsfunctionaliteit te herstellen.
Lees meer: Crypto Project Security: Een gids voor vroegtijdige detectie van bedreigingen
“Coins die 100% bereikten tussen 15:21 – 17:00 UTC zijn in limbo, wat betekent dat niemand ze kan verhandelen totdat er LP’s voor worden ingezet op Raydium. Om gebruikers weer gezond te maken, zal het pump.fun-team de LP’s voor elke getroffen coin binnen de komende 24 uur voorzien van een gelijke of grotere hoeveelheid SOL-liquiditeit dan de coin had om 15:21 UTC. [Solana sh*tcoins zijn terug, en groter dan ooit,” schreef het pump.fun team.
Hoewel pump.fun beweerde dat het al terug is, moet de crypto community waakzaam blijven. Sommige oplichters proberen misbruik te maken van het incident door zich voor te doen als het pump.fun-team en kwaadaardige links te delen die beweren vergoedingslinks te zijn.
Disclaimer
Alle informatie op onze website wordt te goeder trouw en uitsluitend voor algemene informatiedoeleinden gepubliceerd. Elke actie die de lezer onderneemt op basis van de informatie op onze website is strikt op eigen risico.
