5 月 16 日 15:21,Solana 的模因币创建平台 Pump.fun生态系统,被利用。该事件导致约 12,300 SOL 的损失,按当前市场价格计算价值近 200 万美元。
攻击者利用 Margin.fi 的闪贷操纵平台,获取 SOL 并在不使用自己资金的情况下购买 Pump.fun 代币。最近的这一利用在加密货币社区引起了冲击波。
从内部人员找到攻击者:Pump.fun 安全漏洞
攻击者最初通过钱包地址 7ihN8QaTfNoDTRTQGULCzbUT3PHwPDTu5Brcu4iT2paP 进行识别,在几分钟内购买了平台上推出的新项目的所有代币,从而利用了 Pump.fun。这一行动将联合曲线推向了极限。
在去中心化金融(DeFi)领域,联合曲线是一种智能合约,可以在不依赖加密货币交易所的情况下创建代币市场。因此,正如预期的那样,这种操纵阻止了代币在 Solana 的去中心化交易所 Raydium DEX 上上市。
为了应对此次攻击,pump.fun 升级了其合约以防止进一步的恶化。此外,该团队暂停了交易并向用户保证该协议的总锁定价值(TVL)是安全的。
该团队表示:“我们致力于确保用户的安全,并正在与包括执法部门在内的相关方合作,以尽量减少损失。”
有趣的是,攻击者是 Pump.fun 的前雇员 Jarrett,他的笔名是 STACCOverflow。Jarrett在社交媒体上表达了对该公司的不满,并表示他打算破坏该平台。
“那种可怕的老板目睹你摔断了手,问你发生了什么事,你说被玻璃桌子绊倒了,他们会说‘那张桌子还好吗?’Jarrett在攻击后写道:“这不是一个对区块链有帮助的人。”
他澄清说,他有一个计划,想要“改变历史的进程”。此外,他表示并不担心入狱。
在另一篇帖子中,Jarrett还表示,他将通过空投的方式在各个社区之间分发他的战利品,包括 Slerf、Stacc、Saga 和 Risklol。由于他决定进行空投,加密社区中的一些人称他为“Web3 Robinhood”。
在最初发布公告后大约五个小时,pump.fun 发布了一份事后分析报告。他们重新部署了合约,并在接下来的 7 天内以 0% 的费用恢复交易。他们还致力于为受影响的代币建立流动性池(LP),以恢复交易功能。
“ 15:21 至 17:00 之间达到 100% 的代币处于不确定状态,这意味着在 Raydium 上为其部署 LP 之前,没有人可以交易它们。为了使用户完整,pump.fun 团队将在未来 24 小时内为每个受影响的代币添加 LP,其 SOL 流动性数量等于或大于该代币在 UTC 15:21 时的流动性。
