Stručné shrnutí:
• Pump.fun, platforma meme coin na Solaně, utrpěla útok zevnitř a přišla o 2 miliony dolarů.
• Útočník narušil proces výpisu tokenů manipulací s Bonding Curve.
• Platforma upgradovala smlouvy, pozastavila transakce a zajistila, aby nedošlo k poškození prostředků uživatelů.
16. května v 15:21 UTC času byla napadena platforma emoji měny pump.fun v ekosystému Solana, což vedlo ke ztrátě přibližně 12 300 SOL, což odpovídá téměř 2 milionům amerických dolarů.
Útočník použil metodu flash půjčky Margin.fi k získání SOL a nákupu tokenů pump.fun bez použití vlastních prostředků Tento krok přitáhl širokou pozornost v kryptokomunitě.
Přehled incidentu narušení bezpečnosti Pump.fun
Útočník využil platformu pump.fun tím, že během krátké doby zakoupil všechny tokeny nově spuštěných projektů na platformě, čímž Bonding Curve dosáhl svého limitu.
V oblasti DeFi jsou vazebné křivky chytré kontrakty, které vytvářejí trhy pro tokeny, aniž by se spoléhaly na kryptoburzy. V tomto případě akce útočníka zabránily decentralizaci příslušných tokenů na burze Solana's Raydium DEX.
Útočníci Pump.fun zneužili flash půjčky Zdroj: Solscan
V reakci na to pump.fun rychle upgradoval své smlouvy, aby zabránil dalším útokům a pozastavil obchodní činnost a zároveň uživatelům potvrdil, že Total Value Locked (TVL) platformy je bezpečný.
Tým uvedl: „Jsme odhodláni zajistit bezpečnost majetku našich uživatelů a spolupracujeme s příslušnými orgány, včetně donucovacích orgánů, abychom minimalizovali ztráty.“
Za zmínku stojí, že útočníkem je tentokrát Jarrett, bývalý zaměstnanec Pump.fun, známý pod pseudonymem STACCOverflow. Jarrett vyjádřil svou nespokojenost se společností na sociálních sítích a vyjádřil svůj záměr podkopat platformu.
Jarrett po útoku řekl: "Ti strašliví šéfové, kteří vidí vaši zraněnou ruku, ale více se zajímají o to, zda je skleněný stůl neporušený, nejsou typem zástupců a duší blockchainu, které chcete následovat."
Útočník Jarrett, známý také jako STACCOverflow, veřejně vyjádřil své motivy a plány a tvrdil, že jeho činy byly zaměřeny na „změnu běhu dějin“. Nejen, že odhalil svou nespokojenost s platformou Pump.fun, ale také ukázal, že jeho jednání bylo úmyslné a že měl nebojácný postoj k právním důsledkům, které by mu v důsledku útoku mohly hrozit, včetně pobytu ve vězení.
Jeho postoj může pramenit z jeho nespokojenosti s určitými praktikami v současném blockchainovém průmyslu a z jeho naděje, že prostřednictvím této akce přitáhne pozornost a zamyslí se nad těmito problémy v rámci odvětví i mimo něj.
V dalším příspěvku Jarrett oznámil své plány na distribuci majetku, který získal při útoku, prostřednictvím výsadků do různých komunit, včetně Slerf, Stacc, Saga a Risklol. Jarrettovo rozhodnutí mu v kryptokomunitě vyneslo přezdívku „Web3 Robin Hood“, což je titul, který naznačuje, že je považován za účastníka boje proti vlastním zájmům a přerozdělování bohatství širší komunitě.
I když se Jarrettovy činy mohou někomu jevit jako trochu „loupež“, jeho činy stále představují vážnou výzvu pro bezpečnost a důvěru decentralizovaných platforem a zároveň podněcují diskuse o etických a právních hranicích krypto komunity.
Strategie reakce platformy po napadení
Jako strategii reakce přibližně pět hodin po prvním oznámení útoku na platformu Pump.fun tým zveřejnil podrobnou zprávu o posmrtné zprávě. V reakci na to přerozdělili smlouvu a oznámili, že transakční poplatky budou na příštích sedm dní odpuštěny, aby povzbudili uživatele, aby se vrátili a pokračovali v používání platformy. Kromě toho tým Pump.fun přislíbil vytvoření fondu likvidity (LP) pro dotčené tokeny. To má zajistit potřebnou likviditu a obnovit obchodní funkce těchto tokenů.
Cílem této iniciativy je zmírnit dopad útoků na uživatele a obnovit důvěru komunity v platformu. Prostřednictvím těchto opatření Pump.fun ukazuje svůj závazek k bezpečnosti uživatelských aktiv a stabilitě platformy a zároveň demonstruje své investice do dlouhodobě udržitelného rozvoje platformy.
V oznámení tým Pump.fun poznamenal, že tokeny, které dosáhly 100% objemu obchodování mezi 15:21 a 17:00 světového času (UTC), jsou v současné době v limbu, tj. nasazují pro tyto tokeny (LP) fond likvidity na Raydium. tyto tokeny nebylo možné obchodovat. Pro kompenzaci uživatelů a zajištění integrity jejich aktiv plánuje tým Pump.fun vložit SOL do každého postiženého tokenu během následujících 24 hodin, což se rovná nebo překročí likviditu tohoto tokenu v 15:21 UTC.
Tímto způsobem se Pump.fun snaží obnovit obchodní funkčnost dotčených tokenů a zvýšit důvěru uživatelů v platformu. Tým v oznámení zdůraznil, že po tomto incidentu se emotikonové mince (sh*tcoiny) na Solana silně vrátí a budou silnější než kdy předtím. To ukazuje, že tým Pump.fun je optimistický ohledně obnovy a budoucího rozvoje platformy a je odhodlán poskytovat uživatelům lepší služby.
Přestože Pump.fun tvrdí, že obnovil normální provoz, uživatelé v kryptoměnové komunitě stále musí zůstat velmi ostražití. Po tomto incidentu se někteří zločinci pokusili využít příležitosti k podvodům. Vydávali se za členy týmu Pump.fun a šířili škodlivé odkazy, které tvrdily, že jsou použity k odškodnění uživatelů. Tyto odkazy mohou být navrženy tak, aby přiměly uživatele k odhalení jejich soukromých klíčů, adres peněženek nebo jiných citlivých informací, což vede ke krádeži finančních prostředků.
Uživatelé by proto měli pečlivě ověřit pravost jakéhokoli odkazu, který tvrdí, že nabízí kompenzaci nebo požaduje osobní údaje, než s ním budou komunikovat, a komunikovat s týmem Pump.fun pouze prostřednictvím oficiálních kanálů. Členové komunity by si měli navzájem připomínat, aby se vyhnuli potenciálnímu podvodu a zajistili bezpečnost osobního majetku.
Závěr:
Interní útok na platformu Pump.fun upozorňuje na bezpečnostní rizika a etické výzvy, které existují v oblasti decentralizovaných financí (DeFi). Zatímco platforma jednala rychle, aby zmírnila ztráty a obnovila důvěru uživatelů, incident slouží jako připomínka, že členové kryptokomunity musí zůstat ostražití a ostražití před potenciálními podvody a zároveň usilovat o inovace a zisk.
Zároveň to také zdůrazňuje potřebu silnějšího dohledu, transparentnosti a bezpečnosti pro ochranu zájmů investorů a zachování zdravého rozvoje celého ekosystému. Pro Pump.fun je to příležitost k obnovení důvěry a posílení bezpečnostního mechanismu platformy, zatímco pro širší odvětví DeFi je to čas zamyslet se a zlepšit svou schopnost odolávat rizikům. #闪电攻击 #资产安全