Un launchpad di monete meme ha subito una grave violazione della sicurezza, con un insider che avrebbe sottratto migliaia di dollari di criptovaluta.
Pond.fun, una piattaforma costruita su Linea, ha perso 64,8 Ether in quello che sembra essere un attacco dall'interno. I fondi rubati, del valore di circa 230.000 dollari ai prezzi attuali, sono stati incanalati attraverso uno strumento di privacy progettato per oscurare le transazioni blockchain.
Capo ingegnere accusato di sfruttamento dell'accesso
Secondo i rapporti, Genesis, l'ingegnere capo del software del progetto, era la mente dietro l'attacco. Secondo Pond.fun, ha prosciugato le riserve di liquidità utilizzando il suo accesso privilegiato, quindi ha inviato il denaro tramite Railgun, un servizio che aiuta a nascondere l'attività della blockchain.
Sebbene molti utenti utilizzino Railgun per salvaguardare la propria privacy finanziaria, gli hacker lo utilizzano anche per nascondere le proprie attività. Genesis ha reso più difficile rintracciare e recuperare l'Ethereum rubato utilizzando Railgun.
1️⃣ https://t.co/nEexigW8vL è stato violato questa mattina. Non interagire con https://t.co/Lrt9ct9mtG a nessun titolo. Sembra che lo sfruttatore sia uno sviluppatore di software del team https://t.co/Lrt9ct9mtG . Per questo motivo, anche i siti Web efrogs e croak sono a rischio, in attesa…
-pond.fun (@ponddotfun) 5 marzo 2025
Utenti avvisati di evitare la piattaforma
In seguito all'attacco, Pond.fun ha lanciato un avvertimento alla sua comunità. Agli utenti è stato consigliato di non interagire con il sito Web ufficiale della piattaforma, nonché con siti affiliati come Efrogs e Croak. Il team teme che Genesis possa aver compromesso questi siti, ponendo ulteriori rischi per chiunque tenti di accedervi.
Tuttavia, Pond.fun ha rassicurato la sua comunità sul fatto che i suoi gruppi Discord e Telegram rimangono al sicuro. Sebbene gli utenti possano ancora comunicare attraverso questi canali, il progetto stesso si trova ora in una posizione difficile poiché lavora per contenere il danno.
Le aziende blockchain intervengono per monitorare i fondi
Pond.fun ha assunto Chainalysis ed Elliptic, due società di analisi blockchain, per aiutare a impedire all'hacker di incassare la criptovaluta rubata. Queste aziende dispongono di strumenti high-tech in grado di rintracciare trasferimenti sospetti e aiutare a scoprire dove potrebbe finire l’ETH rubato.
Un altro attacco interno si aggiunge alle crescenti preoccupazioni sulla sicurezza
Questa non è la prima volta che un attacco interno ha scosso il mondo delle criptovalute. Pochi giorni prima della violazione di Pond.fun, uno sviluppatore di Infini, una neobanca di stablecoin, ha prosciugato quasi 50 milioni di dollari dopo aver mantenuto segretamente i diritti di amministratore. L’attacco è stato effettuato tramite Tornado Cash, un altro strumento per la privacy spesso utilizzato dagli hacker.
Immagine in primo piano di Gemini Imagen, grafico di TradingView