Breve visão geral:

• Pump.fun, a plataforma de moedas meme em Solana, sofreu um ataque interno e perdeu US$ 2 milhões.

• O invasor interrompeu o processo de listagem de tokens ao manipular a curva de ligação.

• A plataforma atualizou contratos, suspendeu transações e garantiu que os fundos dos usuários não fossem danificados.

Às 15h21, horário UTC, do dia 16 de maio, a plataforma de moeda emoji pump.fun no ecossistema Solana foi atacada, resultando em uma perda de aproximadamente 12.300 SOL, equivalente a quase 2 milhões de dólares americanos.

O invasor usou o método de empréstimo instantâneo do Margin.fi para obter SOL e comprar tokens pump.fun sem usar seus próprios fundos. Esse movimento atraiu ampla atenção na comunidade criptográfica.

Visão geral do incidente de violação de segurança do Pump.fun

O invasor aproveitou a plataforma pump.fun comprando todos os tokens de projetos recém-lançados na plataforma em um curto período de tempo, fazendo com que a curva de ligação atingisse seu limite.

No campo do DeFi, as curvas de títulos são contratos inteligentes que criam mercados para tokens sem depender de exchanges de criptomoedas. Nesse caso, as ações do invasor impediram que os tokens relevantes fossem descentralizados no Raydium DEX de Solana listados em uma exchange.

Os invasores do Pump.fun exploraram empréstimos instantâneos Fonte: Solscan |

Em resposta, a pump.fun atualizou rapidamente seus contratos para evitar novos ataques e suspendeu a atividade comercial, ao mesmo tempo que confirmou aos usuários que o Total Value Locked (TVL) da plataforma era seguro.

A equipe declarou: “Estamos comprometidos em garantir a segurança dos ativos de nossos usuários e trabalhando com as autoridades relevantes, incluindo agências de aplicação da lei, para minimizar perdas”.

Vale ressaltar que desta vez o invasor é Jarrett, ex-funcionário da Pump.fun, conhecido pelo pseudônimo STACCOverflow. Jarrett expressou sua insatisfação com a empresa nas redes sociais e manifestou sua intenção de prejudicar a plataforma.

Jarrett disse após o ataque: “Aqueles chefes terríveis que veem sua mão ferida, mas estão mais preocupados se a mesa de vidro está intacta, não são o tipo de representantes e almas do blockchain que você deseja seguir”.

O atacante, Jarrett, também conhecido como STACCOverflow, expressou publicamente os seus motivos e planos, alegando que as suas ações visavam “mudar o curso da história”. Ele não apenas revelou sua insatisfação com a plataforma Pump.fun, mas também mostrou que suas ações foram intencionais e que teve uma atitude destemida sobre as consequências jurídicas que poderia enfrentar em decorrência do ataque, incluindo pena de prisão.

Sua atitude pode resultar de sua insatisfação com certas práticas na atual indústria de blockchain e de sua esperança de que, por meio dessa ação, ele chame a atenção e a reflexão sobre essas questões dentro e fora da indústria.

Em outra postagem, Jarrett anunciou seus planos de distribuir os ativos que ganhou no ataque por meio de lançamentos aéreos para várias comunidades, incluindo Slerf, Stacc, Saga e Risklol. A decisão de Jarrett rendeu-lhe o apelido de “Web3 Robin Hood” na comunidade criptográfica, um título que sugere que ele é visto como alguém envolvido em um ato de luta contra interesses adquiridos e de redistribuição de riqueza para a comunidade em geral.

Embora as ações de Jarrett possam parecer um “roubo” para alguns, suas ações ainda representam um sério desafio à segurança e à confiança das plataformas descentralizadas, ao mesmo tempo que geram discussões sobre os limites éticos e legais da comunidade criptográfica.

Estratégias de resposta da plataforma após ser atacada

Como estratégia de resposta, aproximadamente cinco horas após o anúncio inicial do ataque à plataforma Pump.fun, a equipe divulgou um relatório post-mortem detalhado. Em resposta, eles reimplantaram o contrato e anunciaram que as taxas de transação seriam isentas pelos próximos sete dias para incentivar os usuários a retornar e continuar usando a plataforma. Além disso, a equipe Pump.fun prometeu estabelecer um pool de liquidez (LP) para os tokens afetados. Isso visa fornecer a liquidez necessária e restaurar as funções de negociação desses tokens.

Esta iniciativa visa mitigar o impacto dos ataques aos utilizadores e reconstruir a confiança da comunidade na plataforma. Através destas medidas, a Pump.fun demonstra o seu compromisso com a segurança dos ativos dos utilizadores e a estabilidade da plataforma, ao mesmo tempo que demonstra o seu investimento no desenvolvimento sustentável da plataforma a longo prazo.

No anúncio, a equipe Pump.fun observou que os tokens que atingiram 100% do volume de negociação entre 15h21 e 17h, Horário Universal (UTC), estão atualmente no limbo, ou seja, implantando um pool de liquidez no Raydium para esses tokens (LP), esses tokens não puderam ser negociados. Para compensar os usuários e garantir a integridade de seus ativos, a equipe Pump.fun planeja injetar cada token afetado com SOL igual ou superior à liquidez desse token às 15h21 UTC nas próximas 24 horas.

Desta forma, Pump.fun visa restaurar a funcionalidade de negociação dos tokens afetados e aumentar a confiança do usuário na plataforma. A equipe enfatizou no anúncio que após este incidente, as moedas emoticons (sh*tcoins) em Solana retornarão com força e ficarão mais fortes do que nunca. Isso mostra que a equipe Pump.fun está otimista com a recuperação e o desenvolvimento futuro da plataforma e comprometida em fornecer melhores serviços aos usuários.

Embora Pump.fun alegue ter retomado as operações normais, os usuários da comunidade de criptomoedas ainda precisam permanecer altamente vigilantes. Após esse incidente, alguns criminosos tentaram aproveitar a oportunidade para fraudar. Eles se passaram por membros da equipe Pump.fun e espalharam links maliciosos alegando serem usados ​​para compensar os usuários. Esses links podem ser projetados para induzir os usuários a revelar suas chaves privadas, endereços de carteira ou outras informações confidenciais, levando ao roubo de fundos.

Portanto, os usuários devem verificar cuidadosamente a autenticidade de qualquer link que pretenda oferecer compensação ou solicitar informações pessoais antes de interagir com ele, e comunicar-se com a equipe Pump.fun apenas através dos canais oficiais. Os membros da comunidade devem lembrar-se uns aos outros para evitar possíveis fraudes e garantir a segurança dos bens pessoais.

Conclusão:

O ataque interno à plataforma Pump.fun destaca os riscos de segurança e os desafios éticos que existem no campo das finanças descentralizadas (DeFi). Embora a plataforma tenha agido rapidamente para mitigar perdas e restaurar a confiança do usuário, o incidente serve como um lembrete de que os membros da comunidade criptográfica devem permanecer vigilantes e alertas a possíveis fraudes enquanto buscam inovação e lucro.

Ao mesmo tempo, isto também destaca a necessidade de uma supervisão, transparência e segurança mais fortes para proteger os interesses dos investidores e manter o desenvolvimento saudável de todo o ecossistema. Para Pump.fun, esta é uma oportunidade para reconstruir a confiança e fortalecer o mecanismo de segurança da plataforma, enquanto para a indústria DeFi em geral, é um momento para refletir e melhorar a sua capacidade de resistir a riscos. #闪电攻击 #资产安全