Pump.fun, platform peluncuran memecoin berbasis Solana, mengalami serangan pada hari Kamis, dengan perkiraan kerugian $2 juta.
Serangan ini terjadi hanya dua hari setelah platform tersebut mencapai pendapatan harian tertinggi sepanjang masa, yaitu lebih dari $1,2 juta pada hari Selasa.
Platform ini, yang memungkinkan pengembang dengan mudah meluncurkan token hanya dalam beberapa langkah, melihat kontraknya dikompromikan dan menghentikan perdagangan untuk mencegah kerusakan lebih lanjut.
“Kami menyadari bahwa kontrak kurva ikatan telah dikompromikan dan sedang menyelidiki masalah ini,” kata Pump.fun di X.
“Kami telah menghentikan perdagangan — Anda tidak dapat membeli dan menjual koin apa pun saat ini. Koin apa pun yang saat ini bermigrasi ke Raydium tidak dapat diperdagangkan dan tidak akan bermigrasi untuk jangka waktu yang tidak ditentukan.”
Setelah token mencapai kapitalisasi pasar $69,000, token tersebut dapat terdaftar di Raydium, bursa terdesentralisasi di Solana.
Kurva ikatan mengacu pada bagaimana harga token meningkat ketika pasokannya menurun dan sebaliknya.
Igor Igamberdiev, kepala penelitian di Wintermute yang menganalisis serangan tersebut, menyatakan bahwa kunci pribadi telah disusupi.
Penyerang menggunakan pinjaman kilat untuk mengelabui kurva ikatan platform agar menerima token SOL hantu, membuat token tersebut tampak berharga meskipun tidak ada pedagang yang membeli secara organik.
Sebuah akun di X, yang dikenal sebagai Stacc, tampaknya mengambil pujian atas serangan tersebut, memposting, “Saya akan mengubah jalannya sejarah” dan melanjutkan dengan memposting “Tidak peduli, saya sudah sepenuhnya tertipu.”
Stacc mengisyaratkan bahwa dana yang dicuri tidak akan disimpan melainkan ditransfer ke beberapa pengguna token, meskipun perkiraan awalnya sebesar $80 juta tampaknya sekarang mendekati $2 juta seperti yang disebutkan oleh Igamberdiev.
DL News tidak dapat mengkonfirmasi klaim Stacc secara independen, dan tim Pump.fun belum membuat pernyataan publik tentang identitas penyerang.
Motif di balik serangan tersebut masih belum jelas, dan tidak jelas bagaimana Stacc mengeksekusi eksploitasi atau apakah mereka mendistribusikan saldo ke orang-orang secara acak, meskipun beberapa orang mengklaim menerima SOL dari pengeksploitasi.
Pump.fun mengiklankan dirinya sebagai platform “peluncuran yang adil”.
Hal ini memungkinkan pengguna untuk mencetak token baru dengan harga beberapa dolar, dan pendapatannya berasal dari biaya yang dibebankan ketika pengguna membeli dan menjual token ini.
Serangan tersebut menimbulkan kerugian yang cukup besar, namun tidak menghasilkan keuntungan yang besar bagi penyerangnya. Meskipun terjadi kekacauan, aset yang masih dalam protokol saat ini aman, menurut tim Pump.fun.
Ryan Celaj adalah koresponden data di DL News. Punya tip? Email dia di ryan@dlnews.com.
