Breve descripción:

• Pump.fun, la plataforma de monedas meme de Solana, sufrió un ataque interno y perdió 2 millones de dólares.

• El atacante interrumpió el proceso de listado de tokens manipulando la curva de vinculación.

• La plataforma actualizó contratos, suspendió transacciones y se aseguró de que los fondos de los usuarios no sufrieran daños.

A las 15:21 hora UTC del 16 de mayo, la plataforma de moneda emoji pump.fun en el ecosistema de Solana fue atacada, lo que resultó en una pérdida de aproximadamente 12.300 SOL, equivalente a casi 2 millones de dólares estadounidenses.

El atacante utilizó el método de préstamo rápido de Margin.fi para obtener SOL y comprar tokens pump.fun sin utilizar sus propios fondos. Este movimiento atrajo una gran atención en la comunidad criptográfica.

Descripción general del incidente de violación de seguridad de Pump.fun

El atacante aprovechó la plataforma pump.fun comprando todos los tokens de proyectos recién lanzados en la plataforma en un corto período de tiempo, lo que provocó que Bonding Curve alcanzara su límite.

En el campo de DeFi, las curvas de vinculación son contratos inteligentes que crean mercados para tokens sin depender de los intercambios de cifrado. En este caso, las acciones del atacante impidieron que los tokens relevantes se descentralizaran en Raydium DEX de Solana en un intercambio.

Los atacantes de Pump.fun explotaron los préstamos flash Fuente: Solscan

En respuesta, pump.fun actualizó rápidamente sus contratos para evitar más ataques y suspendió la actividad comercial mientras confirmaba a los usuarios que el valor total bloqueado (TVL) de la plataforma era seguro.

El equipo declaró: "Estamos comprometidos a garantizar la seguridad de los activos de nuestros usuarios y estamos trabajando con las autoridades pertinentes, incluidas las fuerzas del orden, para minimizar las pérdidas".

Vale la pena señalar que el atacante esta vez es Jarrett, un ex empleado de Pump.fun, conocido con el seudónimo de STACCOverflow. Jarrett expresó su descontento con la empresa en las redes sociales y expresó su intención de socavar la plataforma.

Jarrett dijo después del ataque: "Esos terribles jefes que ven tu mano herida pero están más preocupados por si la mesa de vidrio está intacta no son el tipo de representantes y almas de blockchain que quieres seguir".

El atacante, Jarrett, también conocido como STACCOverflow, expresó públicamente sus motivos y planes, afirmando que sus acciones tenían como objetivo "cambiar el curso de la historia". No sólo reveló su descontento con la plataforma Pump.fun, sino que también demostró que sus acciones fueron intencionales y que tuvo una actitud valiente ante las consecuencias legales que podría enfrentar como resultado del ataque, incluida la pena de cárcel.

Su actitud puede deberse a su descontento con ciertas prácticas en la industria blockchain actual, y su esperanza de que a través de esta acción, llame la atención y la reflexión sobre estos temas dentro y fuera de la industria.

En otra publicación, Jarrett anunció sus planes de distribuir los activos que obtuvo en el ataque mediante lanzamientos aéreos a varias comunidades, incluidas Slerf, Stacc, Saga y Risklol. La decisión de Jarrett le ha valido el apodo de "Web3 Robin Hood" en la comunidad criptográfica, un título que sugiere que se le considera involucrado en un acto de lucha contra intereses creados y redistribución de la riqueza a la comunidad en general.

Si bien las acciones de Jarrett pueden parecerles a algunos un poco como un "robo", sus acciones aún representan un serio desafío para la seguridad y la confianza de las plataformas descentralizadas, al tiempo que provocan discusiones sobre los límites éticos y legales de la comunidad criptográfica.

Estrategias de respuesta de la plataforma después de ser atacada

Como estrategia de respuesta, aproximadamente cinco horas después del anuncio inicial del ataque a la plataforma Pump.fun, el equipo publicó un informe post mortem detallado. En respuesta, reimplementaron el contrato y anunciaron que no se aplicarían tarifas de transacción durante los próximos siete días para alentar a los usuarios a regresar y continuar usando la plataforma. Además, el equipo de Pump.fun prometió establecer un fondo de liquidez (LP) para los tokens afectados con el fin de proporcionar la liquidez necesaria y restaurar las funciones comerciales de estos tokens.

Esta iniciativa tiene como objetivo mitigar el impacto de los ataques a los usuarios y reconstruir la confianza de la comunidad en la plataforma. A través de estas medidas, Pump.fun muestra su compromiso con la seguridad de los activos de los usuarios y la estabilidad de la plataforma, al mismo tiempo que demuestra su inversión en el desarrollo sostenible a largo plazo de la plataforma.

En el anuncio, el equipo de Pump.fun señaló que los tokens que alcanzaron el 100% del volumen de operaciones entre las 15:21 y las 17:00 hora universal (UTC) se encuentran actualmente en el limbo, es decir, implementando un fondo de liquidez en Raydium para estos tokens (LP). Estos tokens no se pueden comercializar. Para compensar a los usuarios y garantizar la integridad de sus activos, el equipo de Pump.fun planea inyectar SOL en cada token afectado durante las próximas 24 horas que sea igual o superior a la liquidez de ese token a las 15:21 UTC.

De esta manera, Pump.fun pretende restaurar la funcionalidad comercial de los tokens afectados y aumentar la confianza del usuario en la plataforma. El equipo enfatizó en el anuncio que después de este incidente, las monedas de emoticones (sh*tcoins) en Solana regresarán con fuerza y ​​serán más fuertes que nunca. Esto demuestra que el equipo de Pump.fun es optimista sobre la recuperación y el desarrollo futuro de la plataforma y está comprometido a brindar mejores servicios a los usuarios.

Aunque Pump.fun afirma haber reanudado sus operaciones normales, los usuarios de la comunidad de criptomonedas aún deben permanecer muy atentos. Después de este incidente, algunos delincuentes intentaron aprovechar la oportunidad para defraudar. Se hicieron pasar por miembros del equipo de Pump.fun y difundieron enlaces maliciosos que afirmaban usarse para compensar a los usuarios. Estos enlaces pueden estar diseñados para engañar a los usuarios para que revelen sus claves privadas, direcciones de billetera u otra información confidencial, lo que lleva al robo de fondos.

Por lo tanto, los usuarios deben verificar cuidadosamente la autenticidad de cualquier enlace que afirme ofrecer una compensación o solicitar información personal antes de interactuar con él y comunicarse con el equipo de Pump.fun solo a través de los canales oficiales. Los miembros de la comunidad deben recordarse unos a otros que deben evitar posibles fraudes y garantizar la seguridad de sus activos personales.

Conclusión:

El ataque interno a la plataforma Pump.fun pone de relieve los riesgos de seguridad y los desafíos éticos que existen en el campo de las finanzas descentralizadas (DeFi). Si bien la plataforma actuó rápidamente para mitigar las pérdidas y restaurar la confianza de los usuarios, el incidente sirve como recordatorio de que los miembros de la comunidad criptográfica deben permanecer vigilantes y alertas ante posibles fraudes mientras buscan innovación y ganancias.

Al mismo tiempo, esto también resalta la necesidad de una supervisión, transparencia y seguridad más estrictas para proteger los intereses de los inversores y mantener el desarrollo saludable de todo el ecosistema. Para Pump.fun, esta es una oportunidad para reconstruir la confianza y fortalecer el mecanismo de seguridad de la plataforma, mientras que para la industria DeFi en general, es un momento para reflexionar y mejorar su capacidad para resistir los riesgos. #闪电攻击 #资产安全