Pump.fun’s record week marred by $2m exploit

DL News · 2024-05-16T20:49:41.000Z

Pump.fun, a Solana-based platform for memecoin launches, suffered an attack on Thursday, with an estimated $2 million in losses. The attack comes just two days after the platform hit an all-time high in daily revenue generated of over $1.2 million on Tuesday. The platform, which lets developers easily launch tokens in just a few steps, saw its contracts compromised and paused trading to prevent further damage. “We are aware that the bonding curve contracts have been compromised and are investigating the matter,” Pump.fun said on X. “We’ve paused trading — you cannot buy and sell any coins at the moment. Any coins currently migrating to Raydium cannot be traded and will not migrate for an indefinite period of time.” Once tokens hit a market cap of $69,000, they can be listed on Raydium, a decentralised exchange on Solana. A bonding curve refers to how a token’s price increase when its supply decreases and vice versa. Igor Igamberdiev, head of research at Wintermute who analysed the attack, suggested that the private key was compromised. The attacker used flash loans to trick the platform’s bonding curve into accepting phantom SOL tokens, making the tokens appear valuable despite no traders buying organically. An account on X, known as Stacc, appeared to take credit for the attack, posting, “I’m about to change the course of history” and went on to post “Do not care, I am already fully doxxed.” Stacc hinted that the stolen funds would’nt be kept but rather transferred to some token users, although his initial estimates of $80 million seem to now be closer to $2 million as mentioned by Igamberdiev. DL News couldn’t independently confirm Stacc’s claims, and the Pump.fun team hasn’t made a public statement on the attacker’s identity. The motive behind the attack remains unclear, and it’s not evident how Stacc executed the exploit or if they distributed the balances to random people, although some have claimed to receive SOL from the exploiter. Pump.fun advertises itself as a “fair launch” platform. It allows users to mint new tokens for a few dollars, with its revenue coming from fees it charges when users buy and sell these tokens. The attack caused significant losses, but didn’t result in a substantial profit for the attacker. Despite the chaos, assets still in the protocol are currently safe, according to Pump.fun’s team. Ryan Celaj is a data correspondent at DL News. Got a tip? Email him at ryan@dlnews.com.

Pump.fun, основанная на Солане платформа для запуска мемкоинов, в четверг подверглась атаке, убыток которой оценивается в 2 миллиона долларов.
Атака произошла всего через два дня после того, как во вторник платформа достигла рекордного уровня ежедневного дохода, составившего более 1,2 миллиона долларов.
Платформа, которая позволяет разработчикам легко запускать токены всего за несколько шагов, обнаружила, что ее контракты скомпрометированы, и приостановила торговлю, чтобы предотвратить дальнейший ущерб.
«Мы знаем, что контракты кривой облигаций были скомпрометированы, и расследуем этот вопрос», — сказал Pump.fun на X.
«Мы приостановили торговлю — в данный момент вы не можете покупать и продавать монеты. Любые монеты, которые в настоящее время мигрируют в Raydium, не могут быть проданы и не будут мигрировать в течение неопределенного периода времени».
Как только токены достигнут рыночной капитализации в $69 000, их можно будет разместить на Raydium, децентрализованной бирже Solana.
Кривая связи показывает, как цена токена увеличивается, когда его предложение уменьшается, и наоборот.
Игорь Игамбердиев, руководитель исследования Wintermute, проанализировавший атаку, предположил, что закрытый ключ был скомпрометирован.
Злоумышленник использовал быстрые кредиты, чтобы обмануть кривую связи платформы и заставить ее принимать фантомные токены SOL, в результате чего токены выглядели ценными, несмотря на то, что ни один трейдер не покупал их органически.
Аккаунт на X, известный как Stacc, похоже, взял на себя ответственность за атаку, написав: «Я собираюсь изменить ход истории», а затем написал: «Неважно, я уже полностью доксирован».
Стак намекнул, что украденные средства не будут храниться, а будут переданы некоторым пользователям токенов, хотя его первоначальные оценки в 80 миллионов долларов теперь кажутся ближе к 2 миллионам долларов, как упомянул Игамбердиев.
DL News не смогла независимо подтвердить утверждения Стакка, а команда Pump.fun не сделала публичного заявления о личности злоумышленника.
Мотив атаки остается неясным, и неясно, как Stacc реализовал эксплойт и передал ли он баланс случайным людям, хотя некоторые утверждают, что получили SOL от эксплойтера.
Pump.fun рекламирует себя как платформу «честного запуска».
Он позволяет пользователям чеканить новые токены за несколько долларов, а его доход поступает от комиссий, которые он взимает, когда пользователи покупают и продают эти токены.
Атака нанесла значительные убытки, но не принесла злоумышленнику существенной прибыли. По словам команды Pump.fun, несмотря на хаос, активы, все еще находящиеся в протоколе, в настоящее время в безопасности.
Райан Селадж — корреспондент DL News. Есть подсказка? Напишите ему по адресу ryan@dlnews.com.

Рекордная неделя Pump.fun омрачена эксплойтом на 2 миллиона долларов

Другие публикации автора

Последние новости

Рекордная неделя Pump.fun омрачена эксплойтом на 2 миллиона долларов

Другие публикации автора

Последние новости

Популярные статьи