Tổng quan ngắn gọn:
• Pump.fun, nền tảng meme coin trên Solana, bị tấn công nội bộ và mất 2 triệu USD.
• Kẻ tấn công đã làm gián đoạn quá trình niêm yết token bằng cách thao túng Đường cong liên kết.
• Nền tảng đã nâng cấp hợp đồng, tạm dừng giao dịch và đảm bảo rằng tiền của người dùng không bị hư hại.
Vào lúc 15:21 giờ UTC ngày 16 tháng 5, nền tảng tiền tệ biểu tượng cảm xúc Pump.fun trong hệ sinh thái Solana đã bị tấn công, dẫn đến thiệt hại khoảng 12.300 SOL, tương đương gần 2 triệu đô la Mỹ.
Kẻ tấn công đã sử dụng phương thức cho vay nhanh của Margin.fi để nhận SOL và mua token Pump.fun mà không cần sử dụng tiền của chính mình. Động thái này đã thu hút sự chú ý rộng rãi trong cộng đồng tiền điện tử.
Tổng quan về sự cố vi phạm an ninh Pump.fun
Kẻ tấn công đã lợi dụng nền tảng Pump.fun bằng cách mua tất cả token của các dự án mới ra mắt trên nền tảng trong một khoảng thời gian ngắn, khiến Đường cong liên kết đạt đến giới hạn.
Trong lĩnh vực DeFi, các đường cong liên kết là các hợp đồng thông minh tạo ra thị trường cho các token mà không cần dựa vào các sàn giao dịch tiền điện tử. Trong trường hợp này, hành động của kẻ tấn công đã ngăn cản việc phân cấp các token có liên quan trên Raydium DEX của Solana được niêm yết trên một sàn giao dịch.
Những kẻ tấn công Pump.fun khai thác các khoản vay flash | Nguồn: Solscan
Đáp lại, Pump.fun đã nhanh chóng nâng cấp các hợp đồng của mình để ngăn chặn các cuộc tấn công tiếp theo và tạm dừng hoạt động giao dịch, đồng thời xác nhận với người dùng rằng Tổng giá trị bị khóa (TVL) của nền tảng là an toàn.
Nhóm cho biết: “Chúng tôi cam kết đảm bảo an toàn cho tài sản của người dùng và đang làm việc với các cơ quan hữu quan, bao gồm cả các cơ quan thực thi pháp luật, để giảm thiểu tổn thất”.
Điều đáng chú ý là kẻ tấn công lần này là Jarrett, cựu nhân viên của Pump.fun, được biết đến với bút danh STACCOverflow. Jarrett bày tỏ sự không hài lòng với công ty trên mạng xã hội và bày tỏ ý định phá hoại nền tảng này.
Jarrett nói sau vụ tấn công: “Những ông chủ khủng khiếp nhìn thấy bàn tay của bạn bị thương nhưng lại quan tâm nhiều hơn đến việc liệu bàn kính có còn nguyên vẹn không phải là loại đại diện và linh hồn blockchain mà bạn muốn theo dõi.”
Kẻ tấn công, Jarrett, còn được gọi là STACCOverflow, đã công khai bày tỏ động cơ và kế hoạch của mình, cho rằng hành động của hắn là nhằm mục đích “thay đổi tiến trình lịch sử”. Anh ta không chỉ bộc lộ sự không hài lòng với nền tảng Pump.fun mà còn cho thấy hành động của mình là có chủ ý và có thái độ không sợ hãi về những hậu quả pháp lý mà anh ta có thể phải đối mặt do cuộc tấn công, bao gồm cả thời gian ngồi tù.
Thái độ của anh ấy có thể xuất phát từ việc anh ấy không hài lòng với một số thực tiễn nhất định trong ngành blockchain hiện tại và anh ấy hy vọng rằng thông qua hành động này, anh ấy sẽ thu hút sự chú ý và suy ngẫm về những vấn đề này trong và ngoài ngành.
Trong một bài đăng khác, Jarrett đã công bố kế hoạch phân phối tài sản mà anh ta có được trong cuộc tấn công thông qua airdrop cho nhiều cộng đồng khác nhau, bao gồm Slerf, Stacc, Saga và Risklol. Quyết định của Jarrett đã mang lại cho anh biệt danh “Web3 Robin Hood” trong cộng đồng tiền điện tử, một danh hiệu cho thấy anh được coi là người tham gia vào một hành động đấu tranh chống lại các lợi ích được đảm bảo và phân phối lại của cải cho cộng đồng rộng lớn hơn.
Mặc dù đối với một số người, hành động của Jarrett có vẻ hơi giống một vụ “cướp bóc”, nhưng hành động của anh ta vẫn là một thách thức nghiêm trọng đối với tính bảo mật và độ tin cậy của các nền tảng phi tập trung, đồng thời làm dấy lên các cuộc thảo luận về ranh giới đạo đức và pháp lý của cộng đồng tiền điện tử.
Chiến lược ứng phó của nền tảng sau khi bị tấn công
Như một chiến lược ứng phó, khoảng năm giờ sau thông báo ban đầu về cuộc tấn công trên nền tảng Pump.fun, nhóm đã công bố một báo cáo khám nghiệm tử thi chi tiết. Đáp lại, họ triển khai lại hợp đồng và thông báo rằng phí giao dịch sẽ được miễn trong bảy ngày tới để khuyến khích người dùng quay lại và tiếp tục sử dụng nền tảng. Ngoài ra, nhóm Pump.fun hứa sẽ thiết lập nhóm thanh khoản (LP) cho các mã thông báo bị ảnh hưởng. Điều này nhằm cung cấp tính thanh khoản cần thiết và khôi phục chức năng giao dịch của các mã thông báo này.
Sáng kiến này nhằm mục đích giảm thiểu tác động của các cuộc tấn công đối với người dùng và xây dựng lại niềm tin của cộng đồng đối với nền tảng. Thông qua các biện pháp này, Pump.fun thể hiện cam kết của họ đối với tính bảo mật tài sản của người dùng và sự ổn định của nền tảng, đồng thời thể hiện sự đầu tư của họ vào sự phát triển bền vững lâu dài của nền tảng.
Trong thông báo, nhóm Pump.fun lưu ý rằng các token đạt 100% khối lượng giao dịch trong khoảng thời gian từ 15:21 đến 17:00 Giờ quốc tế (UTC) hiện đang ở trạng thái lấp lửng, tức là đang triển khai nhóm thanh khoản trên Raydium cho các token (LP) này. những mã thông báo này không thể được giao dịch. Để bồi thường cho người dùng và đảm bảo tính toàn vẹn của tài sản của họ, nhóm Pump.fun có kế hoạch đưa SOL vào từng mã thông báo bị ảnh hưởng trong 24 giờ tới bằng hoặc vượt quá tính thanh khoản của mã thông báo đó vào lúc 15:21 UTC.
Bằng cách này, Pump.fun nhằm mục đích khôi phục chức năng giao dịch của các mã thông báo bị ảnh hưởng và tăng niềm tin của người dùng vào nền tảng. Nhóm nghiên cứu nhấn mạnh trong thông báo rằng sau sự cố này, các emoticon coin (sh*tcoins) trên Solana sẽ trở lại mạnh mẽ và mạnh mẽ hơn bao giờ hết. Điều này cho thấy nhóm Pump.fun lạc quan về sự phục hồi và phát triển trong tương lai của nền tảng và cam kết cung cấp dịch vụ tốt hơn cho người dùng.
Mặc dù Pump.fun tuyên bố đã hoạt động bình thường trở lại nhưng người dùng trong cộng đồng tiền điện tử vẫn cần hết sức cảnh giác. Sau vụ việc này, một số tội phạm đã lợi dụng cơ hội để lừa đảo. Chúng giả danh là thành viên của nhóm Pump.fun và phát tán các liên kết độc hại được cho là dùng để bồi thường cho người dùng. Các liên kết này có thể được thiết kế để lừa người dùng tiết lộ khóa riêng, địa chỉ ví hoặc thông tin nhạy cảm khác của họ, dẫn đến việc đánh cắp tiền.
Do đó, người dùng nên xác minh cẩn thận tính xác thực của bất kỳ liên kết nào yêu cầu bồi thường hoặc yêu cầu thông tin cá nhân trước khi tương tác với liên kết đó và chỉ liên lạc với nhóm Pump.fun thông qua các kênh chính thức. Các thành viên trong cộng đồng nên nhắc nhở nhau để tránh những gian lận tiềm ẩn và đảm bảo an toàn cho tài sản cá nhân.
Phần kết luận:
Cuộc tấn công nội bộ vào nền tảng Pump.fun nêu bật những rủi ro bảo mật và thách thức đạo đức tồn tại trong lĩnh vực tài chính phi tập trung (DeFi). Mặc dù nền tảng này đã hành động nhanh chóng để giảm thiểu tổn thất và khôi phục niềm tin của người dùng, nhưng vụ việc này như một lời nhắc nhở rằng các thành viên của cộng đồng tiền điện tử phải luôn cảnh giác và cảnh giác trước những hành vi gian lận tiềm ẩn trong khi theo đuổi sự đổi mới và lợi nhuận.
Đồng thời, điều này cũng nêu bật nhu cầu giám sát, minh bạch và bảo mật mạnh mẽ hơn để bảo vệ lợi ích của nhà đầu tư và duy trì sự phát triển lành mạnh của toàn bộ hệ sinh thái. Đối với Pump.fun, đây là cơ hội để xây dựng lại niềm tin và củng cố cơ chế bảo mật của nền tảng, trong khi đối với ngành DeFi rộng lớn hơn, đây là thời điểm để phản ánh và cải thiện khả năng chống chọi với rủi ro. #闪电攻击 #资产安全
