Insider lợi dụng nền tảng đồng tiền MEME của Solana, Pump.fun, để đẩy giá lên 2 triệu đô la
[TL; DR]
Pump.fun đã mất tài sản crypto trị giá khoảng 2 triệu đô la trong một vụ vi phạm bảo mật DeFi.
Jarret, cựu nhân viên của Pump.fun, phân phối các token bị đánh cắp như airdrop cho thành viên của một số cộng đồng crypto.
Slothana, DogWifHat, Bonk, Sealana, Smog ($SMOG) và Lucky Boo (BOO) là những ví dụ về các memecoin hàng đầu trên Solana blockchain.
Giới thiệu
Mặc dù DeFi đã tồn tại trong nhiều năm, nhưng việc khai thác độc hại vẫn đang diễn ra do biện pháp bảo mật kém của các nền tảng crypto. Tuy nhiên, một trong những điều tích cực chúng ta đã chứng kiến trong năm qua là sự tăng cường hợp tác giữa các cơ quan chức năng và các dự án DeFi khi xảy ra một vụ trộm crypto. Hôm nay, chúng tôi đánh giá cách vụ trộm crypto Pump.fun đã xảy ra và những tác động của nó đối với toàn bộ ngành DeFi.
Làm thế nào Pump.fun đã trở thành nạn nhân của vụ trộm 2 triệu đô la
Pump.fun, một giao thức memecoin DeFi dựa trên Solana Đã bị xâm phạm vào ngày 16 tháng 5 dẫn đến mất mát tiền điện tử trị giá khoảng 2 triệu đô la. Cơ bản, kẻ khai thác đã sử dụng các khoản vay flash để thao túng các hợp đồng đường cong kết nối của giao thức.
Sau khi tận dụng, Pump.fun đã sử dụng các nền tảng truyền thông xã hội của mình để cảnh báo người dùng về việc vi phạm bảo mật DeFi. Thông qua Hồ sơ nhóm X platform đã nói“Chúng tôi đã nâng cấp các hợp đồng để kẻ tấn công không thể rút tiền nữa. TVL trong giao thức hiện tại là an toàn. Chúng tôi đã tạm dừng giao dịch - bạn không thể mua bán bất kỳ đồng coin nào vào lúc này. Bất kỳ đồng coin nào đang trong quá trình di chuyển sang Raydium cũng không thể giao dịch và sẽ không di chuyển trong một thời gian không xác định.”
Dựa vào cách tấn công xảy ra, một số nhà lãnh đạo ngành tin tưởng rằng cuộc tấn công flash loan của Pump.fun là một vụ tấn công crypto nội bộ. Liên quan đến điều này, Igor Igamberdiev, trưởng nhóm nghiên cứu tại Wintermute, bình luận: “Có vẻ như pumpdotfun đã mất khoảng 2k SOL ($300k+) và một đống memecoins thông qua một sự rò rỉ khả năng private key.”
Tuy nhiên, sau vài giờ, nhóm Pump.fun đã cam kết với các nhà đầu tư rằng họ đã nâng cấp hợp đồng thông minh để ngăn chặn các cuộc tấn công tương tự trong tương lai. viết“Chúng tôi đã nâng cấp hợp đồng để kẻ tấn công không thể rút tiền nữa. TVL trong giao protocal lúc này là an toàn. Chúng tôi đã tạm dừng giao dịch — bạn không thể mua bán bất kỳ coin nào vào lúc này.”
Nó cũng thêm, “Bất kỳ đồng coin nào đang trong quá trình di cư sang Raydium đều không thể giao dịch và sẽ không di cư trong một khoảng thời gian không xác định.”
Tuy nhiên, giao dịch trên nền tảng đã được khôi phục sau 5 giờ kể từ cuộc tấn công Solana Pump.fun. Do sự bất tiện phát sinh từ cuộc tấn công, nhóm đã hủy phí giao dịch trong vòng 7 ngày tới. Hơn nữa, nhóm đã hứa sẽ cung cấp dữ liệu thanh khoản cho các hồ bơi thanh khoản (LPs) của các token bị ảnh hưởng nhằm khôi phục chức năng giao dịch.
Nhóm đã làm rõ vấn đề: “Bạn có thể phát hành các đồng tiền mới và giao dịch bất kỳ đồng tiền nào chưa đạt được 100% giữa 15:21-17:00 UTC. Để đảm bảo người dùng được bù đắp đầy đủ, bất kỳ đồng tiền nào đạt được 100% giữa 15:21-17:00 UTC sẽ được kích hoạt trên Raydium với >= 100% tổng số thanh khoản mà nó đã có trước đó.”
Nó tiếp tục: “Chúng tôi cam kết đảm bảo an toàn cho người dùng và đang hợp tác với các bên liên quan, bao gồm cơ quan chức năng, để giảm thiểu thiệt hại.”
Flash Loans và Smart Contracts: Giải mã việc khai thác của Pump.fun
Như đã đề cập ở trên, lỗ hổng của nền tảng memecoin là kết quả của việc thao túng cơ sở vay nhanh Margin.fi. Đầu tiên, kẻ xấu đã truy cập vào các token từ Margin.fi sau đó mua SOL. Từ đó, anh ta sử dụng SOL để mua các token Pump.fun. Trong quá trình đó, anh ta thậm chí không sử dụng tiền của mình.
Đáng chú ý, giao dịch đã đẩy đường cong gắn kết đến giới hạn của nó. Về ngữ cảnh, đường cong gắn kết là một hợp đồng thông minh để tạo ra một thị trường cho các token mà không cần sử dụng sàn giao dịch tiền điện tử. Do đó, việc thao túng đã ngăn chặn các token được liệt kê trên sàn giao dịch phi tập trung Raydium dựa trên chuỗi khối Solana.
Bí danh và động cơ của kẻ tấn công
Ban đầu, kẻ tấn công được xác định thông qua địa chỉ ví của anh ta, 7ihN8QaTfNoDTRTQGULCzbUT3PHwPDTu5Brcu4iT2paP. Sau đó, anh ta được xác định là Jarrett, cũng được biết đến với tên người dùng X của mình, STACCOverflow. Jarret là cựu nhân viên của Pump.fun, có vẻ bất mãn với cách nhóm điều hành dự án tài chính phi tập trung (DeFi). Bài đăng của Jarret trên nền tảng xã hội X chỉ ra cuộc tấn công Pump.fun Solana được dự đoán trước của anh ta, như hình ảnh chụp màn hình tiếp theo cho thấy.
Nguồn: x.com
Dựa trên những bài đăng trên mạng xã hội của Jarret, động cơ chính của anh ta khi xâm nhập an ninh hệ sinh thái Solana là để trừng phạt cấp trên cũ vì hành vi không công bằng và không chuyên nghiệp trong khi làm nhiệm vụ của họ. Anh ta thể hiện tinh thần tiêu cực của mình đối với cấp trên cũ thông qua bài đăng X tiếp theo như hình ảnh sau đây.
Nguồn: x.com
Web3 Robinhood? Kế hoạch của Kẻ tấn công để phân phối lại tài sản
Trong một trong những bài đăng X của mình, Jarret đã tuyên bố rằng anh sẽ tái phân phối các món lợi bất động sản DeFi, điều này đã giúp anh có biệt danh Web3 Robin Hood. Như đã hứa, Jarret đã phân phối tiền điện tử bị đánh cắp cho các thành viên của một số cộng đồng tiền mã hóa, bao gồm Slerf, Stacc, Saga và Risklol. Kết quả là một thành viên của cộng đồng đã để lại bình luận như được hiển thị trong hình ảnh.
Nguồn: x.com
Trong lúc chờ đợi, một số người dùng tiền điện tử từ các cộng đồng tiền điện tử đã thừa nhận họ nhận được phát tặng. Tuy nhiên, điều không rõ ràng là phương pháp chính xác mà anh ấy đã sử dụng để phân phối chúng.
Cảnh báo về Scammers: Rủi ro sau sự cố Pump.fun
Cộng đồng tiền điện tử nên duy trì sự cảnh giác sau Vi phạm an ninh nền tảng blockchain Pump.fun Điều này bởi vì một số tác nhân độc hại có thể giả mạo là đội ngũ Pump.fun sẵn lòng hoàn trả token của họ. Họ có thể gửi các liên kết độc hại giả mạo rằng người dùng nên cung cấp thông tin của họ để yêu cầu các loại tiền điện tử bị đánh cắp của họ. Trong một nỗ lực để hưởng lợi từ việc khôi phục tiền điện tử bị đánh cắp, một số nhà đầu tư có thể kết thúc mất nhiều tài sản tiền điện tử hơn.
Danh sách các đồng meme SOL tốt nhất
Solana có nhiều đồng tiền memecoins, một số trong số đó có thể đã được niêm yết trên Pump.fun. Những đồng tiền meme phổ biến dựa trên Solana bao gồm Slothana, ChóMũ, Bonk, Sealana, Smog ($SMOG) và Lucky Boo (BOO).
Kết luận
Cựu nhân viên của Pumpfun đã đánh cắp các loại tiền điện tử trị giá khoảng 2 triệu đô la nhằm trừng phạt các ông chủ cũ của mình mà anh ta cáo buộc không chuyên nghiệp trong việc kinh doanh của họ. Tuy nhiên, Jarret đã phân phối các token mà anh ta đã đánh cắp cho các thành viên của một số cộng đồng tiền điện tử thông qua một chương trình airdrop. DogWifHat, Bonk, Solana, Smog ($SMOG) là những ví dụ về coin phổ biến Các đồng tiền memecoins dựa trên Solana.
