A las 15:21 del 16 de mayo, se explotó el ecosistema Pump.fun de la plataforma de creación de moneda meme de Solana. El incidente provocó la pérdida de aproximadamente 12.300 SOL, por un valor de casi 2 millones de dólares a los precios actuales del mercado.
Los atacantes explotaron la plataforma de manipulación de préstamos flash de Margin.fi para obtener SOL y comprar tokens Pump.fun sin utilizar sus propios fondos. Este último exploit ha conmocionado a la comunidad de criptomonedas.
Encontrar al atacante desde adentro: falla de seguridad de Pump.fun
El atacante, inicialmente identificado por la dirección de billetera 7ihN8QaTfNoDTRTQGULCzbUT3PHwPDTu5Brcu4iT2paP, aprovechó Pump.fun comprando todos los tokens para nuevos proyectos lanzados en la plataforma en cuestión de minutos. Esta acción llevó la curva de vinculación a sus límites.
En el mundo de las finanzas descentralizadas (DeFi), una curva de vinculación es un contrato inteligente que crea un mercado de tokens sin depender de un intercambio de criptomonedas. Entonces, como era de esperar, esta manipulación impidió que el token apareciera en el intercambio descentralizado de Solana, Raydium DEX.
En respuesta al ataque, pump.fun mejoró su contrato para evitar un mayor deterioro. Además, el equipo suspendió las operaciones y aseguró a los usuarios que el valor total bloqueado (TVL) del protocolo es seguro.
"Estamos comprometidos a garantizar la seguridad de nuestros usuarios y estamos trabajando con las partes pertinentes, incluidas las autoridades, para minimizar los daños", dijo el equipo.
Curiosamente, el atacante es Jarrett, un ex empleado de Pump.fun que utiliza el seudónimo de STACCOverflow. Jarrett recurrió a las redes sociales para expresar su descontento con la empresa y dijo que tenía la intención de alterar la plataforma.
"El tipo de jefe aterrador que ve cómo te rompes la mano y te pregunta qué pasó y dijiste que tropezaste con una mesa de vidrio te dirá: '¿Está bien esa mesa?'", escribió Jarrett después del ataque. "
Aclaró que tenía un plan para "cambiar el curso de la historia". Además, dijo que no le preocupa ir a la cárcel.
En otra publicación, Jarrett también declaró que distribuirá su botín mediante lanzamientos aéreos entre varias comunidades, incluidas Slerf, Stacc, Saga y Risklol. Algunos miembros de la comunidad criptográfica lo apodaron "Web3 Robinhood" debido a su decisión de realizar un lanzamiento aéreo.
Aproximadamente cinco horas después del anuncio inicial, pump.fun publicó una autopsia. Redistribuyeron el contrato y reanudaron las operaciones con tarifas del 0% durante los siguientes 7 días. También están trabajando para establecer un fondo de liquidez (LP) para los tokens afectados para restaurar la funcionalidad comercial.
“Los tokens que alcanzaron el 100% entre las 15:21 y las 17:00 están en el limbo, lo que significa que nadie puede intercambiarlos hasta que se implemente LP en Raydium. Para mantener a los usuarios intactos, el equipo de pump.fun agregará LP en los próximos 24. horas para cada token afectado con una cantidad de liquidez SOL igual o mayor que la liquidez de ese token a las 15:21 UTC.
