Pump.Fun, l'usine de pièces de monnaie brûlante de la blockchain Solana, a sombré dans le chaos jeudi aux mains d'un exploiteur qui a compromis la technologie centrale à son émission de crypto-monnaies blagues.
"Nous sommes conscients que les contrats sur la courbe de liaison ont été compromis et nous enquêtons sur la question", a annoncé le compte Twitter du projet vieux de plusieurs mois, deux heures après le début du chaos. "Nous avons suspendu le trading – vous ne pouvez ni acheter ni vendre de pièces pour le moment."
Selon Pump.fun, les échanges ont été suspendus pour le moment, mais avant l'annonce, les traders devaient spéculer sur ce qui se passait sur la plateforme.
Nous sommes conscients que les contrats de courbe de liaison https://t.co/uE2QNKXkIT ont été compromis et enquêtons sur la question. Nous avons mis à niveau les contrats afin que l'attaquant ne puisse plus siphonner de fonds. Le TVL dans le protocole est actuellement sûr. Nous avons suspendu les échanges – vous…
– pompe.fun (@pumpdotfun) 16 mai 2024
Les détails de l’attaque étaient encore en train d’être rassemblés au moment de mettre sous presse.
Selon les personnes qui ont contribué aux premières étapes de l'enquête, un exploiteur utilisait une combinaison de tactiques commerciales pour submerger Pump.fun et apparemment accaparer le marché pour des dizaines de pièces de monnaie. Curieusement, les preuves en chaîne suggèrent que l'attaquant n'a pas réalisé beaucoup de bénéfices. Les personnes ont parlé avec CoinDesk sous condition de confidentialité puisque les enquêtes sont encore préliminaires.
Pump.fun est un projet vieux de plusieurs mois permettant de créer et de jouer sur des pièces mèmes sur la blockchain Solana. Il se présente comme une plate-forme de « lancement équitable » où les investisseurs peuvent acheter des jetons de plaisanterie dès les premiers instants. Les pièces frappent parfois fort leurs investisseurs, mais la plupart implosent avant d'atteindre la capitalisation boursière critique de 69 000 $, où les jetons sont libérés dans la nature.
L'exploit de jeudi a touché les contrats intelligents responsables de l'émission des pièces meme sur la courbe Pump.Fun, ont déclaré des personnes. L'attaquant a trompé la courbe de liaison de la plate-forme en acceptant les jetons SOL fantômes qu'ils avaient empruntés et rapidement remboursés dans le cadre de ce que l'on appelle un « prêt flash ». Cela a conduit les courbes de liaison à se remplir de SOL inexistant, donnant aux jetons une apparence précieuse malgré l'absence réelle d'intérêt du côté acheteur.
L'attaquant a causé des pertes de 300 000 $ en jetons SOL, selon les chercheurs en chaîne. Plutôt que de s'enfuir avec l'argent, ils l'ont utilisé pour rembourser les prêts flash et larguer des fonds à d'autres personnes, ont indiqué les sources.