Kurzübersicht:

• Pump.fun, die Meme-Coin-Plattform auf Solana, erlitt einen Insiderangriff und erlitt einen Verlust von 2 Millionen US-Dollar.

• Der Angreifer hat den Token-Listing-Prozess durch Manipulation der Bonding Curve gestört.

• Die Plattform hat Verträge aktualisiert, Transaktionen ausgesetzt und sichergestellt, dass Benutzergelder nicht beschädigt wurden.

Am 16. Mai um 15:21 UTC-Zeit wurde die Emoji-Währungsplattform pump.fun im Solana-Ökosystem angegriffen, was zu einem Verlust von etwa 12.300 SOL führte, was fast 2 Millionen US-Dollar entspricht.

Der Angreifer nutzte die Flash-Darlehensmethode von Margin.fi, um SOL zu erhalten und Pump.fun-Tokens zu kaufen, ohne eigene Mittel zu verwenden. Dieser Schritt erregte große Aufmerksamkeit in der Krypto-Community.

Überblick über den Sicherheitsverstoß bei Pump.fun

Der Angreifer nutzte die pump.fun-Plattform aus, indem er innerhalb kurzer Zeit alle Token neu gestarteter Projekte auf der Plattform kaufte, wodurch die Bonding Curve an ihre Grenzen stieß.

Im Bereich DeFi handelt es sich bei Bonding Curves um intelligente Verträge, die Märkte für Token schaffen, ohne auf Krypto-Börsen angewiesen zu sein. In diesem Fall verhinderten die Aktionen des Angreifers, dass die entsprechenden Token dezentral an Solanas Raydium DEX gelistet wurden.

Pump.fun-Angreifer haben Flash-Kredite ausgenutzt |. Quelle: Solscan

Als Reaktion darauf aktualisierte pump.fun seine Verträge schnell, um weitere Angriffe zu verhindern, und stellte die Handelsaktivität ein. Gleichzeitig bestätigte es den Benutzern, dass der Total Value Locked (TVL) der Plattform sicher sei.

Das Team erklärte: „Wir setzen uns für die Sicherheit der Vermögenswerte unserer Benutzer ein und arbeiten mit den zuständigen Behörden, einschließlich Strafverfolgungsbehörden, zusammen, um Verluste zu minimieren.“

Es ist erwähnenswert, dass der Angreifer dieses Mal Jarrett ist, ein ehemaliger Mitarbeiter von Pump.fun, bekannt unter dem Pseudonym STACCOverflow. Jarrett äußerte in den sozialen Medien seine Unzufriedenheit mit dem Unternehmen und äußerte seine Absicht, die Plattform zu untergraben.

Jarrett sagte nach dem Angriff: „Diese schrecklichen Chefs, die sehen, dass Ihre Hand verletzt wird, sich aber mehr Sorgen darüber machen, ob der Glastisch intakt ist, sind nicht die Art von Blockchain-Vertretern und Seelen, denen Sie folgen möchten.“

Der Angreifer Jarrett, auch bekannt als STACCOverflow, äußerte öffentlich seine Motive und Pläne und behauptete, dass seine Aktionen darauf abzielten, „den Lauf der Geschichte zu verändern“. Er zeigte nicht nur seine Unzufriedenheit mit der Pump.fun-Plattform, sondern zeigte auch, dass seine Handlungen vorsätzlich waren und dass er keine Angst vor den rechtlichen Konsequenzen hatte, die ihm als Folge des Angriffs drohen könnten, einschließlich einer Gefängnisstrafe.

Seine Haltung könnte darauf zurückzuführen sein, dass er mit bestimmten Praktiken in der aktuellen Blockchain-Branche unzufrieden ist und hofft, dass er durch diese Aktion die Aufmerksamkeit und Reflexion auf diese Themen innerhalb und außerhalb der Branche lenken wird.

In einem anderen Beitrag kündigte Jarrett seine Pläne an, die durch den Angriff gewonnenen Vermögenswerte durch Luftabwürfe an verschiedene Gemeinden zu verteilen, darunter Slerf, Stacc, Saga und Risklol. Jarretts Entscheidung hat ihm in der Krypto-Community den Spitznamen „Web3 Robin Hood“ eingebracht, ein Titel, der darauf hindeutet, dass man ihn als einen Akt des Kampfes gegen Eigeninteressen und der Umverteilung von Reichtum an die breitere Gemeinschaft ansieht.

Auch wenn Jarretts Vorgehen für manche wie ein „Raub“ erscheinen mag, stellen seine Handlungen dennoch eine ernsthafte Herausforderung für die Sicherheit und das Vertrauen dezentraler Plattformen dar und lösen gleichzeitig Diskussionen über die ethischen und rechtlichen Grenzen der Krypto-Community aus.

Reaktionsstrategien der Plattform nach einem Angriff

Als Reaktion darauf veröffentlichte das Team etwa fünf Stunden nach der ersten Ankündigung des Angriffs auf die Pump.fun-Plattform einen detaillierten Obduktionsbericht. Als Reaktion darauf erweiterten sie den Vertrag und kündigten an, dass die Transaktionsgebühren für die nächsten sieben Tage erlassen würden, um Benutzer zu ermutigen, zurückzukehren und die Plattform weiterhin zu nutzen. Darüber hinaus versprach das Team von Pump.fun, einen Liquiditätspool (LP) für die betroffenen Token einzurichten, um die nötige Liquidität bereitzustellen und die Handelsfunktionen dieser Token wiederherzustellen.

Ziel dieser Initiative ist es, die Auswirkungen von Angriffen auf Benutzer abzumildern und das Vertrauen der Community in die Plattform wiederherzustellen. Durch diese Maßnahmen zeigt Pump.fun sein Engagement für die Sicherheit der Benutzerressourcen und die Plattformstabilität und demonstriert gleichzeitig seine Investition in die langfristige nachhaltige Entwicklung der Plattform.

In der Ankündigung stellte das Pump.fun-Team fest, dass Token, die zwischen 15:21 und 17:00 Uhr Weltzeit (UTC) 100 % Handelsvolumen erreichten, derzeit in der Schwebe sind, d. h. es wird ein Liquiditätspool auf Raydium für diese Token (LP) bereitgestellt. Diese Token konnten nicht gehandelt werden. Um die Benutzer zu entschädigen und die Integrität ihrer Vermögenswerte sicherzustellen, plant das Pump.fun-Team, in den nächsten 24 Stunden SOL in jeden betroffenen Token zu injizieren, der der Liquidität dieses Tokens um 15:21 UTC entspricht oder diese übersteigt.

Auf diese Weise möchte Pump.fun die Handelsfunktionalität der betroffenen Token wiederherstellen und das Vertrauen der Benutzer in die Plattform stärken. Das Team betonte in der Ankündigung, dass die Emoticon-Münzen (Sh*tcoins) auf Solana nach diesem Vorfall stark zurückkehren und stärker sein werden als je zuvor. Dies zeigt, dass das Pump.fun-Team hinsichtlich der Erholung und zukünftigen Entwicklung der Plattform optimistisch ist und sich dafür einsetzt, den Benutzern bessere Dienste zu bieten.

Obwohl Pump.fun behauptet, den normalen Betrieb wieder aufgenommen zu haben, müssen Benutzer in der Kryptowährungs-Community weiterhin äußerst wachsam bleiben. Nach diesem Vorfall versuchten einige Kriminelle, die Gelegenheit zum Betrug auszunutzen. Sie gaben sich als Mitglieder des Pump.fun-Teams aus und verbreiteten bösartige Links, die angeblich zur Entschädigung von Benutzern verwendet wurden. Diese Links können dazu dienen, Benutzer dazu zu verleiten, ihre privaten Schlüssel, Wallet-Adressen oder andere sensible Informationen preiszugeben, was zum Diebstahl von Geldern führen kann.

Daher sollten Benutzer vor der Interaktion mit dem Link, der angeblich eine Entschädigung anbietet oder persönliche Informationen anfordert, sorgfältig die Echtheit jedes Links überprüfen und mit dem Pump.fun-Team nur über offizielle Kanäle kommunizieren. Community-Mitglieder sollten sich gegenseitig daran erinnern, potenziellen Betrug zu vermeiden und die Sicherheit persönlicher Vermögenswerte zu gewährleisten.

Abschluss:

Der interne Angriff auf die Pump.fun-Plattform verdeutlicht die Sicherheitsrisiken und ethischen Herausforderungen, die im Bereich der dezentralen Finanzierung (DeFi) bestehen. Während die Plattform schnell reagierte, um Verluste zu begrenzen und das Vertrauen der Benutzer wiederherzustellen, dient der Vorfall als Erinnerung daran, dass Mitglieder der Krypto-Community wachsam und auf der Hut vor potenziellem Betrug bleiben müssen, während sie gleichzeitig Innovation und Gewinn anstreben.

Gleichzeitig unterstreicht dies auch die Notwendigkeit einer stärkeren Aufsicht, Transparenz und Sicherheit, um die Interessen der Anleger zu schützen und die gesunde Entwicklung des gesamten Ökosystems aufrechtzuerhalten. Für Pump.fun ist dies eine Gelegenheit, das Vertrauen wiederherzustellen und den Sicherheitsmechanismus der Plattform zu stärken, während es für die breitere DeFi-Branche eine Zeit ist, darüber nachzudenken und ihre Fähigkeit, Risiken zu widerstehen, zu verbessern. #闪电攻击 #资产安全