Breve panoramica:
• Pump.fun, la piattaforma di monete meme su Solana, ha subito un attacco interno e ha perso 2 milioni di dollari.
• L'attaccante ha interrotto il processo di quotazione dei token manipolando la curva di legame.
• La piattaforma ha aggiornato i contratti, sospeso le transazioni e garantito che i fondi degli utenti non siano stati danneggiati.
Alle 15:21 UTC del 16 maggio è stata attaccata la piattaforma valutaria emoji pump.fun nell'ecosistema Solana, provocando una perdita di circa 12.300 SOL, pari a quasi 2 milioni di dollari USA.
L'aggressore ha utilizzato il metodo del prestito flash di Margin.fi per ottenere SOL e acquistare token pump.fun senza utilizzare i propri fondi. Questa mossa ha attirato l'attenzione diffusa nella comunità crittografica.
Panoramica dell'incidente di violazione della sicurezza di Pump.fun
L'aggressore ha approfittato della piattaforma pump.fun acquistando in un breve periodo di tempo tutti i token dei nuovi progetti lanciati sulla piattaforma, facendo sì che la curva di legame raggiungesse il suo limite.
Nel campo della DeFi, le curve obbligazionarie sono contratti intelligenti che creano mercati per i token senza fare affidamento sugli scambi di criptovalute. In questo caso, le azioni dell'aggressore hanno impedito che i relativi token venissero decentralizzati sul Raydium DEX di Solana quotato in uno scambio.
Gli aggressori di Pump.fun hanno sfruttato i prestiti flash |. Fonte: Solscan
In risposta, pump.fun ha rapidamente aggiornato i propri contratti per prevenire ulteriori attacchi e sospendere l'attività di trading, confermando al tempo stesso agli utenti che il Total Value Locked (TVL) della piattaforma era sicuro.
Il team ha dichiarato: “Ci impegniamo a garantire la sicurezza delle risorse dei nostri utenti e stiamo collaborando con le autorità competenti, comprese le forze dell’ordine, per ridurre al minimo le perdite”.
Vale la pena notare che l'aggressore questa volta è Jarrett, un ex dipendente di Pump.fun, conosciuto con lo pseudonimo di STACCOverflow. Jarrett ha espresso la sua insoddisfazione nei confronti dell'azienda sui social media e ha espresso l'intenzione di indebolire la piattaforma.
Jarrett ha detto dopo l'attacco: "Quei terribili capi che vedono la tua mano ferita ma sono più preoccupati se il tavolo di vetro è intatto non sono il tipo di rappresentanti e anime della blockchain che vuoi seguire".
L'aggressore Jarrett, noto anche come STACCOverflow, ha espresso pubblicamente le sue motivazioni e i suoi piani, sostenendo che le sue azioni miravano a "cambiare il corso della storia". Non solo ha rivelato la sua insoddisfazione nei confronti della piattaforma Pump.fun, ma ha anche dimostrato che le sue azioni erano intenzionali e che aveva un atteggiamento impavido nei confronti delle conseguenze legali che avrebbe potuto affrontare a seguito dell'attacco, compreso il carcere.
Il suo atteggiamento potrebbe derivare dalla sua insoddisfazione per alcune pratiche nell'attuale settore blockchain e dalla sua speranza che, attraverso questa azione, attirerà l'attenzione e la riflessione su questi problemi all'interno e all'esterno del settore.
In un altro post, Jarrett ha annunciato i suoi piani per distribuire le risorse ottenute nell'attacco tramite lanci aerei a varie comunità, tra cui Slerf, Stacc, Saga e Risklol. La decisione di Jarrett gli è valsa il soprannome di "Web3 Robin Hood" nella comunità cripto, un titolo che suggerisce che sia visto come impegnato in un atto di lotta contro interessi acquisiti e di ridistribuzione della ricchezza alla comunità più ampia.
Sebbene ad alcuni le azioni di Jarrett possano sembrare una sorta di "rapina", le sue azioni rappresentano comunque una seria sfida alla sicurezza e alla fiducia delle piattaforme decentralizzate, innescando al tempo stesso discussioni sui confini etici e legali della comunità crittografica.
Strategie di risposta della piattaforma dopo essere stata attaccata
Come strategia di risposta, circa cinque ore dopo l’annuncio iniziale dell’attacco alla piattaforma Pump.fun, il team ha rilasciato un rapporto post mortem dettagliato. In risposta, hanno ridistribuito il contratto e annunciato che le commissioni di transazione sarebbero state revocate per i prossimi sette giorni per incoraggiare gli utenti a tornare e continuare a utilizzare la piattaforma. Inoltre, il team Pump.fun ha promesso di creare un pool di liquidità (LP) per i token interessati, al fine di fornire la liquidità necessaria e ripristinare le funzioni di trading di questi token.
Questa iniziativa mira a mitigare l’impatto degli attacchi sugli utenti e ricostruire la fiducia della comunità nella piattaforma. Attraverso queste misure, Pump.fun dimostra il proprio impegno per la sicurezza delle risorse degli utenti e la stabilità della piattaforma, dimostrando anche il proprio investimento nello sviluppo sostenibile a lungo termine della piattaforma.
Nell'annuncio, il team Pump.fun ha osservato che i token che hanno raggiunto il 100% del volume di scambi tra le 15:21 e le 17:00 Universal Time (UTC) sono attualmente in un limbo, ovvero stanno distribuendo un pool di liquidità su Raydium per questi token (LP), questi gettoni non potevano essere scambiati. Per compensare gli utenti e garantire l'integrità delle loro risorse, il team Pump.fun prevede di iniettare SOL in ciascun token interessato nelle prossime 24 ore che sia uguale o superiore alla liquidità di quel token alle 15:21 UTC.
In questo modo Pump.fun mira a ripristinare la funzionalità di trading dei token interessati e ad aumentare la fiducia degli utenti nella piattaforma. Il team ha sottolineato nell'annuncio che dopo questo incidente, le monete emoticon (sh*tcoins) su Solana torneranno con forza e saranno più forti che mai. Ciò dimostra che il team Pump.fun è ottimista riguardo al recupero e allo sviluppo futuro della piattaforma e si impegna a fornire servizi migliori agli utenti.
Sebbene Pump.fun affermi di aver ripreso le normali operazioni, gli utenti della comunità delle criptovalute devono comunque rimanere molto vigili. Dopo questo incidente, alcuni criminali hanno cercato di sfruttare l'opportunità per frodare, fingendosi membri del team Pump.fun e diffondendo collegamenti dannosi che affermavano di essere utilizzati per risarcire gli utenti. Questi collegamenti potrebbero essere progettati per indurre gli utenti a rivelare le proprie chiavi private, gli indirizzi dei portafogli o altre informazioni sensibili, portando al furto di fondi.
Pertanto, gli utenti dovrebbero verificare attentamente l'autenticità di qualsiasi collegamento che pretenda di offrire un compenso o richiedere informazioni personali prima di interagire con esso, e comunicare con il team Pump.fun solo attraverso canali ufficiali. I membri della comunità dovrebbero ricordarsi a vicenda di evitare potenziali frodi e di garantire la sicurezza dei beni personali.
Conclusione:
L’attacco interno alla piattaforma Pump.fun evidenzia i rischi per la sicurezza e le sfide etiche esistenti nel campo della finanza decentralizzata (DeFi). Sebbene la piattaforma abbia agito rapidamente per mitigare le perdite e ripristinare la fiducia degli utenti, l'incidente serve anche a ricordare che i membri della comunità crittografica devono rimanere vigili e attenti a potenziali frodi mentre perseguono innovazione e profitto.
Allo stesso tempo, ciò evidenzia anche la necessità di una maggiore supervisione, trasparenza e sicurezza per proteggere gli interessi degli investitori e mantenere il sano sviluppo dell’intero ecosistema. Per Pump.fun, questa è un’opportunità per ricostruire la fiducia e rafforzare il meccanismo di sicurezza della piattaforma, mentre per il settore DeFi in generale, è un momento per riflettere e migliorare la propria capacità di resistere ai rischi. #闪电攻击 #资产安全