Pump.fun’s record week marred by $2m exploit

DL News · 2024-05-16T20:49:41.000Z

Pump.fun, a Solana-based platform for memecoin launches, suffered an attack on Thursday, with an estimated $2 million in losses. The attack comes just two days after the platform hit an all-time high in daily revenue generated of over $1.2 million on Tuesday. The platform, which lets developers easily launch tokens in just a few steps, saw its contracts compromised and paused trading to prevent further damage. “We are aware that the bonding curve contracts have been compromised and are investigating the matter,” Pump.fun said on X. “We’ve paused trading — you cannot buy and sell any coins at the moment. Any coins currently migrating to Raydium cannot be traded and will not migrate for an indefinite period of time.” Once tokens hit a market cap of $69,000, they can be listed on Raydium, a decentralised exchange on Solana. A bonding curve refers to how a token’s price increase when its supply decreases and vice versa. Igor Igamberdiev, head of research at Wintermute who analysed the attack, suggested that the private key was compromised. The attacker used flash loans to trick the platform’s bonding curve into accepting phantom SOL tokens, making the tokens appear valuable despite no traders buying organically. An account on X, known as Stacc, appeared to take credit for the attack, posting, “I’m about to change the course of history” and went on to post “Do not care, I am already fully doxxed.” Stacc hinted that the stolen funds would’nt be kept but rather transferred to some token users, although his initial estimates of $80 million seem to now be closer to $2 million as mentioned by Igamberdiev. DL News couldn’t independently confirm Stacc’s claims, and the Pump.fun team hasn’t made a public statement on the attacker’s identity. The motive behind the attack remains unclear, and it’s not evident how Stacc executed the exploit or if they distributed the balances to random people, although some have claimed to receive SOL from the exploiter. Pump.fun advertises itself as a “fair launch” platform. It allows users to mint new tokens for a few dollars, with its revenue coming from fees it charges when users buy and sell these tokens. The attack caused significant losses, but didn’t result in a substantial profit for the attacker. Despite the chaos, assets still in the protocol are currently safe, according to Pump.fun’s team. Ryan Celaj is a data correspondent at DL News. Got a tip? Email him at ryan@dlnews.com.

Pump.fun, заснована на Solana платформа для запуску memecoin, зазнала атаки в четвер, збитки склали приблизно 2 мільйони доларів.
Атака сталася лише через два дні після того, як у вівторок платформа досягла історичного максимуму щоденного доходу понад 1,2 мільйона доларів.
Платформа, яка дозволяє розробникам легко запускати токени всього за кілька кроків, побачила, що її контракти скомпрометовані, і призупинила торгівлю, щоб запобігти подальшій шкоді.
«Ми усвідомлюємо, що контракти кривої зв’язку були скомпрометовані, і розслідуємо це питання», — сказав Pump.fun на X.
«Ми призупинили торгівлю — зараз ви не можете купувати та продавати монети. Будь-які монети, які зараз переходять на Raydium, не можна торгувати і не будуть переміщуватися протягом невизначеного періоду часу».
Щойно токени досягнуть ринкової капіталізації в 69 000 доларів, їх можна буде котирувати на Raydium, децентралізованій біржі Solana.
Крива зв’язування означає, як ціна токена зростає, коли його пропозиція зменшується, і навпаки.
Ігор Ігамбердієв, керівник відділу досліджень Wintermute, який аналізував атаку, припустив, що приватний ключ було зламано.
Зловмисник використовував флеш-позики, щоб обманом змусити криву зв’язку платформи приймати фантомні токени SOL, завдяки чому токени виглядали цінними, незважаючи на те, що трейдери не купували органічно.
Обліковий запис на X, відомий як Stacc, здається, взяв на себе відповідальність за атаку, опублікувавши: «Я збираюся змінити хід історії» і продовжив допис «Не хвилюйся, я вже повністю одурів».
Стакк натякнув, що викрадені кошти не будуть зберігатися, а будуть передані деяким користувачам токенів, хоча його початкові оцінки в 80 мільйонів доларів зараз, здається, наближаються до 2 мільйонів доларів, як згадував Ігамбердієв.
DL News не змогли незалежно підтвердити заяви Stacc, а команда Pump.fun не зробила публічної заяви про особу зловмисника.
Мотив атаки залишається незрозумілим, і невідомо, як Stacc застосував експлойт або чи вони розподілили баланси між випадковими людьми, хоча деякі стверджували, що отримували SOL від експлойтера.
Pump.fun рекламує себе як платформу «чесного запуску».
Він дозволяє користувачам карбувати нові токени за кілька доларів, а дохід надходить від комісій, які він стягує, коли користувачі купують і продають ці токени.
Атака завдала значних збитків, але не принесла суттєвого прибутку для зловмисника. Незважаючи на хаос, за словами команди Pump.fun, активи, які все ще знаходяться в протоколі, наразі безпечні.
Раян Селай є кореспондентом даних DL News. Є підказка? Надішліть йому електронний лист на ryan@dlnews.com.

Рекордний тиждень Pump.fun зіпсований експлойтом на 2 мільйони доларів

Перегляньте більше від автора

Останні новини

Рекордний тиждень Pump.fun зіпсований експлойтом на 2 мільйони доларів

Перегляньте більше від автора

Останні новини

Популярні статті