Pump.fun, une plate-forme basée sur Solana pour le lancement de memecoins, a subi une attaque jeudi, avec des pertes estimées à 2 millions de dollars.
L’attaque survient deux jours seulement après que la plateforme a atteint mardi un niveau record de revenus quotidiens générés de plus de 1,2 million de dollars.
La plate-forme, qui permet aux développeurs de lancer facilement des jetons en quelques étapes seulement, a vu ses contrats compromis et a suspendu les échanges pour éviter d'autres dommages.
"Nous sommes conscients que les contrats sur la courbe de liaison ont été compromis et enquêtons sur la question", a déclaré Pump.fun sur X.
«Nous avons suspendu les échanges – vous ne pouvez ni acheter ni vendre de pièces pour le moment. Toutes les pièces migrant actuellement vers Raydium ne peuvent pas être échangées et ne migreront pas pendant une période de temps indéfinie.
Une fois que les jetons atteignent une capitalisation boursière de 69 000 $, ils peuvent être cotés sur Raydium, une bourse décentralisée sur Solana.
Une courbe de liaison fait référence à la façon dont le prix d’un jeton augmente lorsque son offre diminue et vice versa.
Igor Igamberdiev, responsable de la recherche chez Wintermute qui a analysé l'attaque, a suggéré que la clé privée avait été compromise.
L’attaquant a utilisé des prêts flash pour tromper la courbe de liaison de la plate-forme et lui faire accepter des jetons SOL fantômes, ce qui donne l’impression que les jetons ont de la valeur même si aucun commerçant n’achète de manière organique.
Un compte sur X, connu sous le nom de Stacc, a semblé s'attribuer le mérite de l'attaque, en publiant : « Je suis sur le point de changer le cours de l'histoire » et a ensuite publié « Ne vous en souciez pas, je suis déjà complètement doxxé ».
Stacc a laissé entendre que les fonds volés ne seraient pas conservés mais plutôt transférés à certains utilisateurs de jetons, bien que ses estimations initiales de 80 millions de dollars semblent désormais plus proches de 2 millions de dollars, comme l'a mentionné Igamberdiev.
DL News n’a pas pu confirmer de manière indépendante les affirmations de Stacc, et l’équipe Pump.fun n’a pas fait de déclaration publique sur l’identité de l’attaquant.
Le motif de l’attaque reste flou, et il n’est pas évident de savoir comment Stacc a exécuté l’exploit ou s’il a distribué les soldes à des personnes aléatoires, bien que certains aient affirmé avoir reçu du SOL de l’exploiteur.
Pump.fun se présente comme une plateforme de « lancement équitable ».
Il permet aux utilisateurs de créer de nouveaux jetons pour quelques dollars, ses revenus provenant des frais facturés lorsque les utilisateurs achètent et vendent ces jetons.
L’attaque a causé des pertes importantes, mais n’a pas généré de profit substantiel pour l’attaquant. Malgré le chaos, les actifs encore dans le protocole sont actuellement en sécurité, selon l'équipe de Pump.fun.
Ryan Celaj est correspondant de données chez DL News. Vous avez un conseil ? Envoyez-lui un e-mail à ryan@dlnews.com.