5月16日15時21分、Solanaのミーム通貨作成プラットフォームPump.funエコシステムが悪用されました。この事件により、現在の市場価格で約 200 万ドルに相当する約 12,300 SOL が損失されました。
攻撃者は Margin.fi のフラッシュ ローン操作プラットフォームを悪用して、自己資金を使用せずに SOL を取得し、Pump.fun トークンを購入しました。この最新のエクスプロイトは、暗号通貨コミュニティに衝撃を与えました。
攻撃者を内部から見つける: Pump.fun のセキュリティ欠陥
当初ウォレットアドレス 7ihN8QaTfNoDTRTQGULCzbUT3PHwPDTu5Brcu4iT2paP で特定された攻撃者は、数分以内にプラットフォーム上で立ち上げられた新しいプロジェクトのすべてのトークンを購入することで Pump.fun を悪用しました。このアクションにより、結合曲線が限界まで押し上げられました。
分散型金融 (DeFi) の世界では、ボンディング カーブは、暗号通貨取引所に依存せずにトークンの市場を作成するスマート コントラクトです。したがって、予想通り、この操作により、トークンは Solana の分散型取引所である Raydium DEX に上場できなくなりました。
この攻撃に対応して、pump.fun はさらなる悪化を防ぐために契約をアップグレードしました。さらに、チームは取引を一時停止し、プロトコルの Total Value Locked (TVL) が安全であることをユーザーに保証しました。
同チームは「ユーザーの安全確保に全力を尽くし、被害を最小限に抑えるために法執行機関を含む関係者と協力している」と述べた。
興味深いことに、攻撃者は STACCOverflow という仮名を持つ元 Pump.fun 従業員の Jarrett です。ジャレット氏はソーシャルメディアで同社への不満を表明し、プラットフォームを破壊するつもりだと述べた。
「あなたが手を骨折したのを目撃して、ガラスのテーブルにつまずいたと言って何が起こったのかと尋ねるような恐ろしい上司は、『そのテーブルは大丈夫ですか?』と言うだろう」とジャレット氏は攻撃後に書いた。 」
同氏は「歴史の流れを変える」計画があると明言した。さらに、刑務所に行くことについては心配していないと述べた。
ジャレットは別の投稿で、Slerf、Stacc、Saga、Risklolなどのさまざまなコミュニティ間でエアドロップを介して戦利品を配布するとも述べた。暗号通貨コミュニティの一部では、彼のエアドロップ実施の決定により、彼を「Web3 ロビンフッド」と呼んでいます。
最初の発表から約 5 時間後に、pump.fun は事後分析を公開しました。彼らは契約を再展開し、次の 7 日間は 0% の手数料で取引を再開しました。また、取引機能を回復するために、影響を受けたトークンの流動性プール(LP)の確立にも取り組んでいます。
「15:21 から 17:00 の間に 100% に達したトークンは保留状態にあります。つまり、LP が Raydium にデプロイされるまでは誰もトークンを取引できません。ユーザーを無傷に保つために、pump.fun チームは次の 24 年内に LP を追加します。」影響を受けるトークンごとに、SOL 流動性額が 15:21 UTC のそのトークンの流動性以上の時間。