Vào lúc 15:21 ngày 16 tháng 5, nền tảng tạo tiền tệ meme của Solana, hệ sinh thái Pump.fun đã bị khai thác. Vụ việc dẫn đến mất khoảng 12.300 SOL, trị giá gần 2 triệu USD theo giá thị trường hiện tại.
Những kẻ tấn công đã khai thác nền tảng thao túng khoản vay nhanh của Margin.fi để lấy SOL và mua mã thông báo Pump.fun mà không cần sử dụng tiền của chính chúng. Việc khai thác mới nhất này đã gây ra làn sóng chấn động trong cộng đồng tiền điện tử.
Tìm ra kẻ tấn công từ bên trong: Lỗ hổng bảo mật Pump.fun
Kẻ tấn công, ban đầu được xác định bằng địa chỉ ví 7ihN8QaTfNoDTRTQGULCzbUT3PHwPDTu5Brcu4iT2paP, đã khai thác Pump.fun bằng cách mua tất cả token cho các dự án mới được tung ra trên nền tảng trong vòng vài phút. Hành động này đã đẩy đường cong liên kết đến giới hạn của nó.
Trong thế giới tài chính phi tập trung (DeFi), đường cong liên kết là một hợp đồng thông minh tạo ra thị trường cho các token mà không cần dựa vào sàn giao dịch tiền điện tử. Vì vậy, đúng như dự đoán, hành vi thao túng này đã ngăn token được niêm yết trên sàn giao dịch phi tập trung của Solana, Raydium DEX.
Để đối phó với cuộc tấn công, Pump.fun đã nâng cấp hợp đồng của mình để ngăn chặn tình trạng xấu đi thêm. Ngoài ra, nhóm đã tạm dừng giao dịch và đảm bảo với người dùng rằng Tổng giá trị bị khóa (TVL) của giao thức là an toàn.
Nhóm cho biết: “Chúng tôi cam kết đảm bảo an toàn cho người dùng và đang làm việc với các bên liên quan, bao gồm cả cơ quan thực thi pháp luật, để giảm thiểu thiệt hại”.
Điều thú vị là kẻ tấn công là Jarrett, một cựu nhân viên của Pump.fun có bút danh STACCOverflow. Jarrett đã lên mạng xã hội để bày tỏ sự không hài lòng với công ty và cho biết anh có ý định phá vỡ nền tảng này.
“Loại ông chủ đáng sợ chứng kiến bạn bị gãy tay và hỏi bạn chuyện gì đã xảy ra và bạn nói rằng bạn vấp phải một chiếc bàn kính sẽ nói ‘Cái bàn đó ổn chứ?’” Jarrett viết sau cuộc tấn công. "
Ông nói rõ rằng ông có kế hoạch "thay đổi tiến trình lịch sử". Hơn nữa, anh cho biết mình không lo lắng về việc phải ngồi tù.
Trong một bài đăng khác, Jarrett cũng tuyên bố rằng anh ấy sẽ phân phối chiến lợi phẩm của mình thông qua airdrop giữa các cộng đồng khác nhau, bao gồm Slerf, Stacc, Saga và Risklol. Một số người trong cộng đồng tiền điện tử đã gọi anh ấy là “Web3 Robinhood” do quyết định tiến hành airdrop của anh ấy.
Khoảng năm giờ sau thông báo ban đầu, Pump.fun đã công bố kết quả khám nghiệm tử thi. Họ triển khai lại hợp đồng và tiếp tục giao dịch với mức phí 0% trong 7 ngày tiếp theo. Họ cũng đang nỗ lực thiết lập nhóm thanh khoản (LP) cho các token bị ảnh hưởng để khôi phục chức năng giao dịch.
“Các mã thông báo đạt 100% trong khoảng thời gian từ 15:21 đến 17:00 đang ở trạng thái lấp lửng, nghĩa là không ai có thể giao dịch chúng cho đến khi LP được triển khai cho chúng trên Raydium. Để giữ nguyên cho người dùng, nhóm Pump.fun sẽ thêm LP trong 24 giờ tới. giờ cho mỗi mã thông báo bị ảnh hưởng có số tiền thanh khoản SOL bằng hoặc lớn hơn tính thanh khoản của mã thông báo đó vào lúc 15:21 UTC.
