Платформа Pump.fun, специализирующаяся на выпуске и продвижении мемов, потеряла почти 2 миллиона долларов в SOL. Злоумышленник оказался Робин Гудом: он не просто украл эти средства, но и рандомно раздал их держателям мемкоинов на Solana.
Хакер-альтруист STACCoverflow сообщил об организованном им благотворительном эйрдропе, объяснив свой поступок сильной душевной болью после смерти матери. Он сказал, что готов “изменить ход истории, а потом гнить в тюрьме”. Также он намекнул, что может вынудить Solana провести форк.
Хакер не жалеет о содеянном. Источник: X
В сообществе сразу высказали предположение, что STACCoverflow может быть разработчиком Pump.fun, воспользовавшимся для атаки утечкой закрытого ключа. При этом большинство комментаторов выражало восхищение его поступком, соболезнования утрате или благодарность за неожиданный подарок.
Некоторые пользователи получили внушительные суммы. Источник: X
Вдохновившись щедростью хакера, хейтер Pump.fun с ником BunkerFuts даже запустил именной мемкоин BunkerFuts. Согласно данным Dexscreener.com, стоимость токена за несколько часов взлетела в 20 раз, но затем, естественно, резко обвалилась почти до нуля.
Пользователи Х поддерживают хакера. Источник: X
Знакомая история, не так ли? Сегодня практически любое хайповое событие может стать поводом для запуска нового мемкоина в попытке заработать на этом.
Разработчики Pump.fun сразу же сообщили, что уже работают над устранением уязвимости.
Разработчики платформы решают проблему с уязвимостью. Источник: Х
Схема взлома Pump.fun
STACCoverflow использовал платформу криптокредитования MarginFi, чтобы осуществить атаку мгновенного кредита на Pump.fun. Он запросил займы во всех пулах, созданных на платформе (кроме тех, что были созданы в протоколе Raydium и к которым у него не было доступа). Токены SOL, находившиеся в пулах, были выведены хакером, а затем случайным образом разосланы по чужим кошелькам. В итоге клиенты Pump.fun получили от 1 до 1000 SOL.
Представители платформы, пострадавшей от атаки, подтвердили, что сумма ущерба составила 12 300 SOL ($1,9 млн). Также они признали, что STACCoverflow — бывший сотрудник компании, который использовал свои должностные полномочия для незаконного получения прав на снятие средств.
Команда Pump.fun опубликовала официальное заявление, что скомпрометированный контракт уже обновлен, чтобы исключить повторное хищение средств. Все транзакции на платформе приостановлены, пока не будет решена проблема безопасности.
В настоящее время невозможно ни купить, ни продать токены на Pump.fun.
Представители проекта утверждают, что контракты протокола безопасны, и что в качестве возмещения они предоставят всем пользователям возможность безкомиссионной торговли в течение 7 дней.
Что ж, так иногда случается: ты создаешь децентрализованные блокчейны, столь же децентрализованные протоколы на смарт-контрактах, а потом у уволенного сотрудника остается код доступа к сервисам, и все идет к чертям.