Insider nutzt Solanas Meme Coin Plattform, Pump.fun, für 2 Millionen US-Dollar aus

2024-05-29, 06:20

[TL; DR]

Pump.fun verlor Krypto-Vermögenswerte im Wert von rund 2 Millionen US-Dollar bei einem DeFi-Sicherheitsvorfall.

Jarret, ein ehemaliger Mitarbeiter von Pump.fun, verteilte gestohlene Tokens als Airdrop an Mitglieder mehrerer Kryptogemeinschaften.

Slothana, DogWifHat, Bonk, Sealana, Smog ($SMOG) und Lucky Boo (BOO) sind Beispiele für führende Memecoins auf der Solana Blockchain.

Einführung

Trotz der Anzahl der Jahre, in denen der DeFi-Sektor existiert, gibt es immer noch bösartige Ausbeutung aufgrund schlechter Sicherheitsmaßnahmen der Kryptoplattformen. Eine positive Entwicklung, die wir jedoch im letzten Jahr beobachtet haben, ist eine verstärkte Zusammenarbeit zwischen Strafverfolgungsbehörden und DeFi-Projekten, wenn ein Kryptoraub stattfindet. Heute bewerten wir, wie der Pump.fun Kryptoraub stattgefunden hat und welche Auswirkungen dies auf den gesamten DeFi-Sektor hat.

Wie Pump.fun Opfer eines Diebstahls in Höhe von 2 Millionen Dollar wurde

Pump.fun, Ein auf Solana basierendes DeFi-Memecoin-Protokoll Am 16. Mai wurde die Plattform Gate.io gehackt, was zum Verlust von Kryptowährungen im Wert von etwa 2 Millionen Dollar führte. Der Angreifer nutzte Flash Loans, um die Bonding Curve-Verträge des Protokolls zu manipulieren.

Nach dem Angriff benutzte Pump.fun seine Social-Media-Plattformen, um seine Benutzer über den DeFi-Sicherheitsverstoß zu informieren. Durch seine X Plattformprofil, so das Team.“Wir haben die Verträge aktualisiert, damit der Angreifer keine Gelder mehr abschöpfen kann. Der TVL im Protokoll ist derzeit sicher. Wir haben den Handel pausiert – Sie können derzeit keine Münzen kaufen und verkaufen. Alle Coins, die sich derzeit in der Migration zu Raydium befinden, können nicht gehandelt werden und werden auf unbestimmte Zeit nicht migriert.”

Basierend auf der Art und Weise, wie der Angriff ablief, glaubten einige Branchenführer, dass es sich bei dem Pump.fun Flash-Loan-Exploit um einen internen Krypto-Angriff handelte. In diesem Zusammenhang sagte Igor Igamberdiev, Forschungsleiter bei Wintermute, kommentiert Es scheint, als ob pumpdotfun etwa 2.000 SOL (über 300.000 $) und eine Menge Memecoins durch ein mögliches Leck des privaten Schlüssels verloren hat.

Allerdings versprach das Pump.fun-Team seinen Investoren nach einigen Stunden, dass es seinen Smart Contract aktualisiert habe, um ähnliche zukünftige Angriffe zu verhindern. Es schrieb: “Wir haben die Verträge aktualisiert, damit der Angreifer keine weiteren Mittel mehr abzapfen kann. Der TVL im Protokoll ist derzeit sicher. Wir haben den Handel angehalten - Sie können im Moment keine Münzen kaufen und verkaufen.”

Es wurde hinzugefügt: „Alle Münzen, die sich derzeit im Prozess der Migration zu Raydium befinden, können nicht gehandelt werden und werden für unbestimmte Zeit nicht migrieren.“

Der Handel auf der Plattform wurde jedoch 5 Stunden nach dem Solana Pump.fun-Angriff wieder aufgenommen. Aufgrund der Unannehmlichkeiten, die aus dem Angriff entstanden sind, hat das Team für die nächsten sieben Tage die Handelsgebühren gestrichen. Außerdem hat es versprochen, die Liquiditätspools (LPs) für betroffene Token zu unterstützen, um die Handelsfunktionalität wiederherzustellen.

Das Team hat das Problem geklärt “Sie können neue Münzen starten und jede Münze handeln, die zwischen 15:21 und 17:00 UTC nicht 100% erreicht hat. Um Benutzer zu entschädigen, wird jede Münze, die zwischen 15:21 und 17:00 UTC 100% erreicht hat, mit >= 100% der Liquidität, die sie zuvor hatte, auf Raydium live gehen.”

Es fuhr fort: „Wir sind entschlossen, die Sicherheit unserer Benutzer zu gewährleisten und arbeiten mit relevanten Parteien, einschließlich Strafverfolgungsbehörden, zusammen, um den Schaden zu minimieren.“

Flash Loans und Smart Contracts: Entschlüsseln der Pump.fun-Ausbeutung

Wie oben angedeutet, war die Memecoin-Plattformausbeutung das Ergebnis der Manipulation der Margin.fi-Flash-Darlehenseinrichtung. Der Haupttäter hatte in erster Linie Zugriff auf Token von Margin.fi und erwarb SOL. Von dort aus verwendete er SOL, um die Pump.fun-Token zu kaufen. Dabei hat er nicht einmal sein eigenes Geld verwendet.

Bemerkenswert ist, dass die Transaktion die Bindungskurve an ihre Grenzen gebracht hat. Zur Erläuterung: Die Bindungskurve ist ein Smart Contract zur Schaffung eines Marktes für Token, ohne Krypto-Börsen zu nutzen. Dadurch wurde verhindert, dass die Token an der dezentralen Börse Raydium, die auf der Solana-Blockchain basiert, gelistet werden.

Die Identität und Motive des Angreifers

Zuerst wurde der Angreifer anhand seiner Wallet-Adresse identifiziert, 7ihN8QaTfNoDTRTQGULCzbUT3PHwPDTu5Brcu4iT2paP. Später wurde er als Jarrett identifiziert, der auch unter seinem Benutzernamen X, STACCOverflow, bekannt ist. Jarrett ist ehemaliger Mitarbeiter von Pump.fun, der anscheinend unzufrieden damit ist, wie das Team das dezentralisierte Finanzprojekt (DeFi) leitet. Jarret’s Beitrag auf der X-Social-Plattform weist auf seinen vorsätzlichen Angriff auf Solana Pump.fun hin, wie der nächste Screenshot zeigt.

Quelle: x.com

Basierend auf Jarrets Social-Media-Beiträgen war sein Hauptmotiv für den Sicherheitsvorfall im Solana-Öko, seine früheren Vorgesetzten für ihr unfair und unprofessionelles Verhalten während der Ausübung ihrer Aufgaben zu bestrafen. Er zeigte seine negative Einstellung gegenüber seinen Ex-Chefs durch seinen X-Beitrag, wie das nächste Bild zeigt.

Quelle: x.com

Der Web3 Robinhood? Der Plan des Angreifers zur Umverteilung des Reichtums

In einem seiner X-Beiträge erklärte Jarret, dass er die DeFi-Beute neu verteilen würde, was ihm den Spitznamen Web3 Robin Hood einbrachte. Gemäß seinem Versprechen verteilte Jarret die gestohlene Kryptowährung an Mitglieder mehrerer Kryptogemeinschaften, darunter Slerf, Stacc, Saga und Risklol. Als Ergebnis kommentierte eines der Gemeindemitglieder wie im Bild gezeigt.

Quelle: x.com

In der Zwischenzeit haben mehrere Kryptowährungsbenutzer aus den genannten Kryptogemeinschaften zugegeben, dass sie den Airdrop erhalten haben. Was jedoch nicht klar ist, ist die genaue Methode, die er zur Verteilung verwendet hat.

Vorsicht vor Betrügern: Risiken nach dem Pump.fun Vorfall

Die Kryptogemeinschaft sollte nach dem wachsam bleiben. Pump.fun Sicherheitsverletzung der Blockchain-Plattform. Dies liegt daran, dass einige bösartige Akteure sich als das Pump.fun-Team ausgeben können, das bereit ist, ihre Token zu erstatten. Sie könnten bösartige Links senden, die vorgeben, dass die Benutzer ihre Daten angeben sollen, um ihre gestohlenen Kryptowährungen zurückzufordern. In dem Bemühen, von der Wiederherstellung gestohlener Kryptowährungen zu profitieren, könnten einige Investoren am Ende mehr Krypto-Assets verlieren.

Liste der besten SOL Meme Coins

Solana hat viele Memecoins, von denen einige möglicherweise auf Pump.fun gelistet wurden. Zu den beliebten Solana-basierten Memecoins gehören Slothana, DogWifHat, Bonk, Sealana, Smog ($SMOG) und Lucky Boo (BOO).

Schlussfolgerung

Pumpfuns Ex-Mitarbeiter stahl Kryptowährungen im Wert von rund 2 Millionen US-Dollar, um seine ehemaligen Chefs zu bestrafen, die er beschuldigte, in ihrem Geschäftsgebaren unprofessionell zu sein. Allerdings verteilte Jarret die gestohlenen Token an Mitglieder mehrerer Krypto-Communities über einen Airdrop. DogWifHat, Bonk, Sealana, Smog ($SMOG) sind Beispiele für beliebte Solana-basierte Mememünzen.

Autor: Mashell C., Gate.io-Forscher

Dieser Artikel spiegelt nur die Ansichten des Forschers wider und stellt keine Anlageempfehlungen dar.

Gate.io behält sich alle Rechte an diesem Artikel vor. Eine Weiterveröffentlichung des Artikels ist gestattet, sofern auf Gate.io verwiesen wird. In allen Fällen werden rechtliche Schritte aufgrund von Urheberrechtsverletzungen unternommen.