Платформа Pump.fun, що спеціалізується на випуску та просуванні мемів, втратила майже 2 мільйони доларів у SOL. Зловмисник виявився Робін Гудом: він не просто вкрав ці кошти, а й рандомно роздав їх власникам мемкоїнів на Solana.
Хакер-альтруїст STACCoverflow повідомив про організований ним благодійний ейрдроп, пояснивши свій вчинок сильним душевним болем після смерті матері. Він сказав, що готовий «змінити хід історії, а потім гнити у в'язниці». Також він натякнув, що може змусити Solana провести форк.
Хакер не шкодує про скоєне. Джерело: X
У спільноті одразу висловили припущення, що STACCoverflow може бути розробником Pump.fun, який скористався для атаки витоком закритого ключа. При цьому більшість коментаторів висловлювала захоплення його вчинком, співчуття втраті або подяку за несподіваний подарунок.
Деякі користувачі отримали значні суми. Джерело: X
Надихнувшись щедрістю хакера, хейтер Pump.fun з ніком BunkerFuts навіть запустив іменний мемкоїн BunkerFuts. Згідно з даними Dexscreener.com, вартість токена за кілька годин злетіла у 20 разів, але потім, звичайно ж, різко обвалилася майже до нуля.
Користувачі Х підтримують хакера. Джерело: X
Знайома історія, чи не так? Сьогодні практично будь-яка хайпова подія може стати приводом для запуску нового мемкоїна в спробі заробити на цьому.
Розробники Pump.fun відразу ж повідомили, що вже працюють над усуненням уразливості.
Розробники платформи розв'язують проблему з уразливістю. Джерело: Х
Схема злому Pump.fun
STACCoverflow використовував платформу криптокредитування MarginFi, щоб здійснити атаку миттєвого кредиту на Pump.fun. Він запросив позики у всіх пулах, створених на платформі (крім тих, що були створені в протоколі Raydium, і до яких у нього не було доступу). Токени SOL, що перебували в пулах, були виведені хакером, а потім випадковим чином розіслані по чужих гаманцях. У підсумку клієнти Pump.fun отримали від 1 до 1000 SOL.
Представники платформи, що постраждала від атаки, підтвердили, що сума збитків склала 12 300 SOL ($1,9 млн). Також вони визнали, що STACCoverflow — колишній співробітник компанії, який використовував свої посадові повноваження для незаконного отримання прав на зняття коштів.
Команда Pump.fun опублікувала офіційну заяву, що скомпрометований контракт уже оновлено, щоб унеможливити повторне розкрадання коштів. Усі транзакції на платформі призупинено, поки не буде розв'язано проблему безпеки.
Наразі неможливо ні купити, ні продати токени на Pump.fun.
Представники проєкту стверджують, що контракти протоколу безпечні, і що задля відшкодування вони нададуть усім користувачам можливість безкомісійної торгівлі протягом 7 днів.
Що ж, так іноді буває: ти створюєш децентралізовані блокчейни, настільки ж децентралізовані протоколи на смартконтрактах, а потім у звільненого співробітника залишається код доступу до сервісів, і все йде під три чорти.