Pump.fun de Solana pierde 2 millones de dólares en impactante explotación interna

El 16 de mayo, a las 15:21 UTC, se explotó pump.fun, una plataforma para crear monedas meme en el ecosistema Solana (SOL). El accidente provocó una pérdida de aproximadamente 12.300 SOL, por un valor de casi 2 millones de dólares a los precios actuales del mercado.

El atacante manipuló la plataforma utilizando préstamos flash de Margin.fi para obtener SOL y comprar tokens pump.fun sin utilizar sus propios fondos. Esta reciente explotación ha causado conmoción en la comunidad criptográfica.

De información privilegiada a atacante: la violación de seguridad de Pump.fun

Inicialmente identificado por la dirección de billetera 7ihN8QaTfNoDTRTQGULCzbUT3PHwPDTu5Brcu4iT2paP, el atacante aprovechó pump.fun comprando todos los tokens de los nuevos proyectos lanzados en la plataforma en tan solo unos minutos. Esta acción llevó la curva de bonos a su límite.

En el sector de las finanzas descentralizadas (DeFi), la curva de bonos es un contrato inteligente que crea un mercado de tokens sin depender de los intercambios de criptomonedas. Por lo tanto, como era de esperar, la manipulación impidió que los tokens cotizaran en Raydium DEX, un intercambio descentralizado en Solana.

Leer más: Los 5 principales fallos de seguridad criptográfica y cómo evitarlos

En respuesta al ataque, pump.fun actualizó sus contratos para evitar una mayor explotación. Además, el equipo suspendió las operaciones y aseguró a los usuarios que el valor total bloqueado (TVL) del protocolo estaba seguro.

«Estamos comprometidos a garantizar la seguridad de nuestros usuarios y estamos trabajando con las partes interesadas, incluidas las fuerzas del orden, para minimizar el daño», dice el equipo. declarado.

Curiosamente, el atacante era un ex empleado de pump.fun, Jarrett, más conocido por el alias STACCOverflow. Jarrett ha expresado su descontento con la empresa en las redes sociales y ha manifestado su intención de revolucionar la plataforma.

«El tipo de jefes horribles que te ven arruinarte la mano, te preguntan qué pasó, dijiste que la mesa de vidrio te atrapó y te dicen '¿esa mesa está bien?' No es el tipo de personas que querrías al frente y al centro como la cara de blockchain”, escribió Jarrett después del ataque.

Dejó claro que tenía un plan y quería “cambiar el curso de la historia”. Además, dijo que no le preocupaba ir a prisión.

En una publicación separada, Jarrett también declarado quien distribuiría su botín mediante lanzamiento aéreo entre varias comunidades, incluidas Slerf, Stacc, Saga y Risklol. Debido a su decisión de realizar un lanzamiento aéreo, algunos miembros de la comunidad criptográfica lo han apodado «Web3 Robinhood».

Aproximadamente cinco horas después del anuncio inicial, pump.fun publicó una autopsia. Redistribuyeron los contratos y reanudaron las operaciones con comisiones del 0% durante los siguientes siete días. También se han comprometido a generar fondos de liquidez (LP) para las monedas afectadas para restaurar la funcionalidad del intercambio.

Leer más: Seguridad de proyectos criptográficos: una guía para la detección temprana de amenazas

“Las monedas que alcanzaron el 100% entre las 15:21 y las 17:00 UTC están en el limbo, lo que significa que nadie puede intercambiarlas hasta que los LP se distribuyan en Raydium. Para que los usuarios estén completos, el equipo de bombeo .fun generará los LP para cada moneda afectada. con una cantidad igual o mayor de liquidez SOL que la que tenía la moneda a las 15:21 UTC dentro de las próximas 24 horas. […] Las sh*tcoins de Solana han vuelto y son más grandes que nunca”, el equipo de pump.fun el escribio.

Aunque pump.fun dijo que ya ha regresado, la comunidad criptográfica debe permanecer alerta. Algunos estafadores intentan aprovechar el incidente haciéndose pasar por team pump.fun y compartiendo enlaces maliciosos que pretenden ser enlaces de reembolso.