Pump.fun, il launchpad di monete meme con sede a Solana, ha annunciato che un ex dipendente ha utilizzato la sua "posizione privilegiata" per accedere all'"autorità di ritiro" e si è appropriato indebitamente di circa 12.300 SOL, per un valore all'epoca di circa 1,9 milioni di dollari.
Per evitare ulteriori danni, Pump.fun ha interrotto le attività commerciali e aggiornato i contratti.
Exploit del prestito flash
Riguardo all'exploit, Pump.fun ha affermato in un post su X che un ex dipendente ha abusato del suo accesso all'autorità di recesso, che aveva ottenuto attraverso la sua precedente posizione all'interno dell'azienda.
Utilizzando prestiti flash su un protocollo di prestito Solana, l'individuo in questione ha preso in prestito SOL e ha acquistato monete per spingerle al 100% sulle proprie curve obbligazionarie. Ciò ha consentito loro di accedere alla liquidità della curva obbligazionaria e di rimborsare i prestiti flash.
Il trading sulla piattaforma è stato interrotto poche ore dopo. Dei 45 milioni di dollari di liquidità totale, sono stati interessati circa 1,9 milioni di dollari. Il team Pump.fun ha quindi ridistribuito i contratti e ha ripreso a fare trading con una commissione dello 0% per i successivi sette giorni.
La piattaforma per la creazione di monete meme ha inoltre osservato che i token che hanno raggiunto il 100% durante l'exploit sono attualmente in un limbo e non negoziabili finché non verranno distribuiti pool di liquidità per loro sul protocollo di prestito Solana, Raydium. Per compensare gli utenti, il team ha affermato che ricostituirà i pool di liquidità per le monete interessate con una quantità uguale o maggiore di SOL entro le prossime 24 ore.
“Per favore, abbiate pazienza mentre miriamo a riprendere il commercio di queste monete in modo sicuro e strutturato. Abbiamo lavorato con alcune delle persone di sicurezza più stimate nel settore non solo per ridurre al minimo l’impatto della situazione, ma per garantire che ciò non accada mai in futuro”.
Perdita di chiave privata interna
Prima dell'annuncio di Pump.fun, il capo della ricerca del market maker di criptovalute Wintermute, Igor Igamberdiev, aveva attribuito l'hacking a una perdita di chiave privata interna e al sospetto utente X "STACCoverflow".
Poco dopo l'utente X "Stacc" ha ammesso di aver eseguito l'exploit, criticando i suoi "orribili capi" su Pump.fun, descrivendoli come "volto della comunità blockchain" inadatto.
Il post Un ex dipendente di Pump.fun sfrutta l'autorità di prelievo, causando una perdita di 1,9 milioni di dollari è apparso per la prima volta su CryptoPotato .