Crypto Post-Mortem: Here’s How Pump.Fun Was Exploited For $2 Million

Crypto Breaking · 2024-05-18T01:25:21.000Z

Solana-based platform Pump.fun suffered an exploit that left the crypto community with many questions. The attack stole millions of dollars in users’ funds, but the reasons behind it and the exact amount of the loot were unclear. Amid the uncertainty, some claimed that a crypto Robinhood had emerged. Related Reading $80 Million Taken In Crypto Heist? On Thursday, the platform Pump.fun announced its bounding curve contracts had been compromised. In the post, the team alerted users that all trading was temporarily halted while they investigated the incident. Pump.fun is a trading platform created to “prevent rugs” by ensuring that all created crypto tokens are safe. The platform allows users to easily launch instantly tradeable tokens with no presale and no team allocation. This solution became an extremely popular alternative among influencers and users who wanted to create tokens without the complexity or high costs of launching a project. It uses bonding curve contracts for the tokens, a mathematical model that determines a token’s price based on supply, increasing with the number of tokens bought. After the token’s market capitalization reaches $69,000, part of the liquidity is deposited on Raydium to be burned. Since the attack, the team has assured users that the contracts have been upgraded to prevent further fund loss, adding that the protocol’s total value locked (TVL) is safe. However, the community’s reports were contradictory and alarming. Some users claimed the attacker had taken $80 million in crypto from the platform’s bonding curve contracts, which worried the affected users. According to Lookonchain’s report, the hacker was quickly identified. At first, he pretended to be an unaware user, asking what the damages were. However, he later accused the platform’s founders of withdrawing the exact amount stolen a day prior. Attacker’s post regarding the exploit. source: Lookonchain on X An X user claimed the individual chose to “be a Robin Hood, dropping hacked cash to $SOL communities.” The attacker also stated in a post his desire to “change the course of history.” However, his “heroic outlaw” endeavors affected 1,882 addresses. What Happened? Despite the speculation and the attacker’s posts, it was later revealed that he was a Pump.fun ex-employee. In its post-mortem post, the platform’s team revealed that the individual had used their position to misappropriate funds from the bonding curve contracts. The attacker illegitimately accessed the accounts after obtaining the private keys, “using their privileged position at the company.” The former employee used flash loans from Solana lending protocol to steal 12,300 SOL, worth around $1.9 million. Per the post, he borrowed SOL to buy as many tokens as possible in Pump.fun. When the tokens hit 100% on their respective bonding curves, the attacker used the keys to access the bonding curve liquidity and repay the flash loans. Fortunately, the attacker could only access $1.9 million out of the $45 million liquidity in contracts. Since then, the team has redeployed the bonding curve contracts and offered a plan to help affected crypto investors. Related Reading To make users whole, the team will “seed the LPs for each affected coin with an equal or greater amount of SOL liquidity that the coin had at 15:21 UTC within the next 24 hours.” Moreover, they are offering 0% trading fees for the next 7 days. As a user pointed out, this action is “non-trivial” since Pump.fun makes $1 million daily from fees. Total crypto market capitalization is at $2.35 trillion in the 5-day chart. Source: TOTAL on TradingView Featured Image from Unsplash.com, Chart from TradingView.com Source: NewsBTC.com The post Crypto Post-Mortem: Here’s How Pump.Fun Was Exploited For $2 Million appeared first on Crypto Breaking News.

Die Solana-basierte Plattform Pump.fun wurde Opfer eines Angriffs, der die Krypto-Community mit vielen Fragen zurückließ. Bei dem Angriff wurden den Nutzern Millionen von Dollar gestohlen, aber die Gründe dafür und die genaue Höhe der Beute waren unklar. Inmitten der Unsicherheit behaupteten einige, dass ein Krypto-Robinhood entstanden sei.
Verwandte Lektüre
80 Millionen Dollar bei Krypto-Raub erbeutet?
Am Donnerstag gab die Plattform Pump.fun bekannt, dass ihre Bounding Curve-Verträge kompromittiert worden seien. In dem Beitrag teilte das Team den Benutzern mit, dass der gesamte Handel vorübergehend eingestellt wurde, während der Vorfall untersucht wurde.
Pump.fun ist eine Handelsplattform, die geschaffen wurde, um „Betrug zu verhindern“, indem sie sicherstellt, dass alle erstellten Krypto-Token sicher sind. Die Plattform ermöglicht es Benutzern, sofort handelbare Token ohne Vorverkauf und ohne Teamzuteilung einfach auf den Markt zu bringen.
Diese Lösung wurde zu einer äußerst beliebten Alternative unter Influencern und Benutzern, die Token erstellen wollten, ohne die Komplexität oder die hohen Kosten eines Projektstarts auf sich nehmen zu müssen.
Es verwendet Bonding-Curve-Verträge für die Token, ein mathematisches Modell, das den Preis eines Tokens basierend auf dem Angebot bestimmt und mit der Anzahl der gekauften Token steigt. Nachdem die Marktkapitalisierung des Tokens 69.000 USD erreicht hat, wird ein Teil der Liquidität auf Raydium hinterlegt, um verbrannt zu werden.
Seit dem Angriff hat das Team den Benutzern versichert, dass die Verträge aktualisiert wurden, um weitere Geldverluste zu verhindern, und hinzugefügt, dass der Gesamtwert (TVL) des Protokolls sicher sei.
Die Berichte der Community waren jedoch widersprüchlich und alarmierend. Einige Benutzer behaupteten, der Angreifer habe 80 Millionen Dollar in Kryptowährung aus den Bonding-Curve-Verträgen der Plattform gestohlen, was die betroffenen Benutzer beunruhigte.
Laut dem Bericht von Lookonchain wurde der Hacker schnell identifiziert. Zunächst gab er sich als ahnungsloser Benutzer aus und fragte, wie hoch der Schaden sei. Später beschuldigte er jedoch die Gründer der Plattform, genau den Betrag abgehoben zu haben, der einen Tag zuvor gestohlen worden war.
Beitrag des Angreifers zum Exploit. Quelle: Lookonchain on X
Ein X-Benutzer behauptete, die Person habe sich entschieden, „ein Robin Hood zu sein, der gehacktes Geld an $SOL-Communitys abgibt“. Der Angreifer äußerte in einem Beitrag auch seinen Wunsch, „den Lauf der Geschichte zu ändern“. Seine „heroischen Outlaw-Bemühungen“ betrafen jedoch 1.882 Adressen.
Was ist passiert?
Trotz der Spekulationen und der Posts des Angreifers stellte sich später heraus, dass es sich bei ihm um einen ehemaligen Pump.fun-Mitarbeiter handelte. In seinem Post-Mortem-Post enthüllte das Team der Plattform, dass die Person ihre Position ausgenutzt hatte, um Gelder aus den Bonding-Curve-Verträgen zu veruntreuen.
Der Angreifer verschaffte sich nach Erhalt der privaten Schlüssel unrechtmäßig Zugang zu den Konten, „unter Ausnutzung seiner privilegierten Position im Unternehmen“. Der ehemalige Mitarbeiter nutzte Blitzkredite aus dem Solana-Kreditprotokoll, um 12.300 SOL im Wert von rund 1,9 Millionen Dollar zu stehlen.
Laut dem Beitrag lieh er sich SOL, um so viele Token wie möglich bei Pump.fun zu kaufen. Als die Token auf ihren jeweiligen Bindungskurven 100 % erreichten, nutzte der Angreifer die Schlüssel, um auf die Liquidität der Bindungskurve zuzugreifen und die Blitzkredite zurückzuzahlen.
Glücklicherweise konnte der Angreifer nur auf 1,9 Millionen Dollar der 45 Millionen Dollar Liquidität in den Verträgen zugreifen. Seitdem hat das Team die Bonding-Curve-Verträge neu eingesetzt und einen Plan zur Unterstützung betroffener Krypto-Investoren angeboten.
Verwandte Lektüre
Um die Nutzer zu entschädigen, wird das Team „die LPs für jede betroffene Münze innerhalb der nächsten 24 Stunden mit einer gleichen oder größeren Menge an SOL-Liquidität bestücken, die die Münze um 15:21 UTC hatte.“ Darüber hinaus bieten sie für die nächsten 7 Tage 0 % Handelsgebühren an. Wie ein Nutzer anmerkte, ist diese Aktion „nicht trivial“, da Pump.fun täglich 1 Million Dollar an Gebühren verdient.
Die gesamte Krypto-Marktkapitalisierung liegt im 5-Tages-Chart bei 2,35 Billionen Dollar. Quelle: TOTAL auf TradingView
Ausgewähltes Bild von Unsplash.com, Diagramm von TradingView.com
Quelle: NewsBTC.com
Der Beitrag „Crypto-Post-Mortem: So wurden mit Pump.Fun 2 Millionen Dollar erbeutet“ erschien zuerst auf Crypto Breaking News.

Krypto-Post-Mortem: So wurden Pump.Fun für 2 Millionen Dollar ausgebeutet

Weitere Inhalte des Erstellers entdecken

Aktuelle Nachrichten