Короткий огляд:

• Pump.fun, платформа мем-монет на Solana, зазнала внутрішньої атаки та втратила 2 мільйони доларів.

• Зловмисник порушив процес лістингу токенів, маніпулюючи кривою зв’язування.

• Платформа оновила контракти, призупинила транзакції та гарантувала, що кошти користувачів не були пошкоджені.

О 15:21 UTC 16 травня на платформу валюти емодзі pump.fun в екосистемі Solana було здійснено атаку, що призвело до збитків приблизно 12 300 SOL, що еквівалентно майже 2 мільйонам доларів США.

Зловмисник використовував метод флеш-позики Margin.fi, щоб отримати SOL і придбати токени pump.fun без використання власних коштів. Цей крок привернув широку увагу криптоспільноти.

Огляд інциденту порушення безпеки Pump.fun

Зловмисник скористався перевагами платформи pump.fun, придбавши всі токени нещодавно запущених проектів на платформі протягом короткого періоду часу, в результаті чого крива зв’язку досягла свого ліміту.

У сфері DeFi криві зв’язування — це розумні контракти, які створюють ринки для токенів, не покладаючись на криптобіржі. У цьому випадку дії зловмисника запобігли децентралізації відповідних токенів на біржі Raydium DEX від Solana.

Зловмисники Pump.fun використовували флеш-кредити | Джерело: Solscan

У відповідь pump.fun швидко оновив свої контракти, щоб запобігти подальшим атакам, і призупинив торговельну діяльність, одночасно підтвердивши користувачам, що Total Value Locked (TVL) платформи безпечно.

Команда заявила: «Ми прагнемо забезпечити безпеку активів наших користувачів і співпрацюємо з відповідними органами, включаючи правоохоронні органи, щоб мінімізувати збитки».

Варто зазначити, що нападником цього разу є Джаретт, колишній співробітник Pump.fun, відомий під псевдонімом STACCOverflow. Джарретт висловив своє невдоволення компанією в соціальних мережах і заявив про намір підірвати платформу.

Джарретт сказав після нападу: «Ті жахливі боси, які бачать вашу руку пораненою, але більше стурбовані тим, чи скляний стіл цілий, не є тими представниками блокчейну та душами, за якими ви хочете слідувати».

Зловмисник Джарретт, також відомий як STACCOverflow, публічно висловив свої мотиви та плани, заявивши, що його дії були спрямовані на «зміну курсу історії». Він не лише висловив своє невдоволення платформою Pump.fun, але й продемонстрував, що його дії були навмисними та що він безстрашно ставився до правових наслідків, на які він міг зіткнутися в результаті нападу, включаючи тюремне ув’язнення.

Його ставлення може випливати з його невдоволення певною практикою в поточній індустрії блокчейнів і його сподівання, що завдяки цій дії він приверне увагу та роздумає над цими проблемами в галузі та за її межами.

В іншій публікації Джарретт оголосив про свої плани розподілити активи, які він отримав під час атаки за допомогою airdrop, між різними спільнотами, включаючи Slerf, Stacc, Saga та Risklol. Рішення Джаретта принесло йому прізвисько «Web3 Робін Гуд» у крипто-спільноті, титул, який свідчить про те, що він бере участь у боротьбі проти приватних інтересів і перерозподіл багатства серед ширшої спільноти.

Хоча дії Джаррета можуть здатися деяким «пограбуванням», його дії все ще становлять серйозну проблему для безпеки та довіри до децентралізованих платформ, а також викликають дискусії про етичні та правові межі криптоспільноти.

Стратегії реагування платформи після атаки

Як стратегію реагування, приблизно через п’ять годин після першого оголошення про атаку на платформу Pump.fun, команда опублікувала детальний посмертний звіт. У відповідь вони перерозподілили контракт і оголосили, що комісія за транзакції буде скасована протягом наступних семи днів, щоб спонукати користувачів повернутися та продовжити використовувати платформу. Крім того, команда Pump.fun пообіцяла створити пул ліквідності (LP) для постраждалих токенів, щоб забезпечити необхідну ліквідність і відновити торгові функції цих токенів.

Ця ініціатива спрямована на пом’якшення впливу атак на користувачів і відновлення довіри спільноти до платформи. Завдяки цим заходам Pump.fun демонструє свою відданість безпеці ресурсів користувачів і стабільності платформи, а також демонструє свої інвестиції в довгостроковий сталий розвиток платформи.

У повідомленні команда Pump.fun зазначила, що токени, які досягли 100% обсягу торгів між 15:21 і 17:00 за всесвітнім часом (UTC), наразі перебувають у підвішеному стані, тобто розгортання пулу ліквідності на Raydium для цих токенів (LP), ці токени не можна було торгувати. Щоб компенсувати користувачам і забезпечити цілісність їхніх активів, команда Pump.fun планує ввести SOL у кожен постраждалий токен протягом наступних 24 годин, що дорівнює або перевищує ліквідність цього токена о 15:21 UTC.

Таким чином Pump.fun прагне відновити торговельну функціональність уражених токенів і підвищити довіру користувачів до платформи. Команда підкреслила в повідомленні, що після цього інциденту монети смайлів (sh*tcoin) на Solana значно повернуться і будуть сильнішими, ніж будь-коли. Це свідчить про те, що команда Pump.fun оптимістично дивиться на відновлення та майбутній розвиток платформи та прагне надавати кращі послуги користувачам.

Незважаючи на те, що Pump.fun стверджує, що відновив нормальну роботу, користувачі криптовалютної спільноти все ще повинні залишатися дуже пильними. Після цього інциденту деякі зловмисники спробували скористатися можливістю шахрайства. Вони видавали себе за членів команди Pump.fun і поширювали шкідливі посилання, нібито використовували їх для компенсації користувачам. Ці посилання можуть бути розроблені, щоб оманою змусити користувачів розкрити їхні особисті ключі, адреси гаманців або іншу конфіденційну інформацію, що призведе до крадіжки коштів.

Таким чином, користувачі повинні ретельно перевіряти автентичність будь-якого посилання, яке містить пропозиції про компенсацію або запит на особисту інформацію, перш ніж взаємодіяти з ним, і спілкуватися з командою Pump.fun лише через офіційні канали. Члени спільноти повинні нагадувати один одному про те, щоб уникати можливого шахрайства та забезпечувати безпеку особистих активів.

висновок:

Внутрішня атака на платформу Pump.fun підкреслює ризики безпеки та етичні проблеми, які існують у сфері децентралізованих фінансів (DeFi). Незважаючи на те, що платформа діяла швидко, щоб зменшити втрати та відновити довіру користувачів, інцидент служить нагадуванням про те, що члени криптоспільноти повинні залишатися пильними та уважними до потенційного шахрайства, прагнучи до інновацій та отримання прибутку.

Водночас це також підкреслює необхідність посилення нагляду, прозорості та безпеки для захисту інтересів інвесторів і підтримки здорового розвитку всієї екосистеми. Для Pump.fun це можливість відновити довіру та зміцнити механізм безпеки платформи, тоді як для ширшої індустрії DeFi це час подумати та покращити свою здатність протистояти ризикам. #闪电攻击 #资产安全