Pump.fun, uma plataforma baseada em Solana para lançamentos de memecoins, sofreu um ataque na quinta-feira, com perdas estimadas em US$ 2 milhões.
O ataque ocorre apenas dois dias depois que a plataforma atingiu um recorde histórico de receita diária gerada de mais de US$ 1,2 milhão na terça-feira.
A plataforma, que permite aos desenvolvedores lançar tokens facilmente em apenas algumas etapas, teve seus contratos comprometidos e interrompeu a negociação para evitar maiores danos.
“Estamos cientes de que os contratos da curva de títulos foram comprometidos e estamos investigando o assunto”, disse Pump.fun no X.
“Pausamos a negociação – você não pode comprar e vender nenhuma moeda no momento. Quaisquer moedas atualmente migrando para Raydium não podem ser negociadas e não serão migradas por um período de tempo indefinido.”
Assim que os tokens atingirem um valor de mercado de US$ 69.000, eles poderão ser listados no Raydium, uma bolsa descentralizada em Solana.
Uma curva de ligação refere-se a como o preço de um token aumenta quando sua oferta diminui e vice-versa.
Igor Igamberdiev, chefe de pesquisa da Wintermute que analisou o ataque, sugeriu que a chave privada foi comprometida.
O invasor usou empréstimos instantâneos para enganar a curva de vínculo da plataforma e fazê-la aceitar tokens SOL fantasmas, fazendo com que os tokens parecessem valiosos, apesar de nenhum comerciante comprar organicamente.
Uma conta no X, conhecida como Stacc, pareceu receber o crédito pelo ataque, postando: “Estou prestes a mudar o curso da história” e postando “Não me importo, já estou totalmente doxxado”.
Stacc deu a entender que os fundos roubados não seriam mantidos, mas sim transferidos para alguns usuários de tokens, embora suas estimativas iniciais de US$ 80 milhões pareçam agora estar mais próximas de US$ 2 milhões, conforme mencionado por Igamberdiev.
A DL News não conseguiu confirmar de forma independente as afirmações de Stacc, e a equipe Pump.fun não fez uma declaração pública sobre a identidade do invasor.
O motivo por trás do ataque permanece obscuro e não é evidente como a Stacc executou a exploração ou se distribuíram os saldos para pessoas aleatórias, embora alguns tenham alegado ter recebido SOL do explorador.
Pump.fun se anuncia como uma plataforma de “lançamento justo”.
Ele permite que os usuários criem novos tokens por alguns dólares, com sua receita proveniente das taxas cobradas quando os usuários compram e vendem esses tokens.
O ataque causou perdas significativas, mas não resultou em lucro substancial para o invasor. Apesar do caos, os ativos ainda no protocolo estão seguros, de acordo com a equipe do Pump.fun.
Ryan Celaj é correspondente de dados da DL News. Tem uma dica? Envie um e-mail para ele em ryan@dlnews.com.
