Pump.fun, una herramienta de lanzamiento de memecoin de Solana, alegó que un ex empleado explotó el protocolo por casi 2 millones de dólares en un ataque de “curva de vinculación”. El ex empleado utilizó una “posición privilegiada” para acceder a una “autoridad de retirada” y comprometer los sistemas internos del protocolo, según la publicación X del 16 de mayo de pump.fun.
Se robaron aproximadamente 1,9 millones de dólares de los 45 millones de dólares contenidos en los contratos de curva de vinculación de pump.fun. La plataforma detuvo temporalmente sus operaciones, pero desde entonces reanudó sus operaciones.
Pump.fun afirmó que sus contratos inteligentes siguen siendo seguros y que los usuarios afectados recuperarían “el 100% de la liquidez” en las próximas 24 horas.
Ex empleado asume la culpa
Igor Igamberdiev, jefe de investigación del creador de mercado de criptomonedas Wintermute, sugirió que el hack fue el resultado de una filtración interna de clave privada. Sospechaba que el usuario X “STACCoverflow” estaba detrás del ataque.
STACCoverflow publicó mensajes crípticos en X, afirmando que estaban “a punto de cambiar el curso de la historia” y “luego se pudrirían en la cárcel”, al mismo tiempo que afirmaban estar “completamente engañados”.
Pump.fun ha estado colaborando con las autoridades, pero no nombró al exempleado involucrado.
El explotador utilizó préstamos flash en el protocolo de préstamos de Solana, Raydium, para pedir prestados tokens de Solana (SOL). Estos tokens se usaron luego para comprar las monedas meme de pump.fun.
Una vez que las monedas alcanzaron el 100% en sus curvas de vinculación, el explotador accedió a la liquidez de la curva de vinculación para pagar los préstamos rápidos. Entre las 15:21 y las 17:00 UTC del 16 de mayo, se robaron aproximadamente 12.300 SOL, valorados en 1,9 millones de dólares.
Gotbit Hedge Fund inicialmente expresó su preocupación por el ataque en las redes sociales. Observaron que una billetera compraba todos los tokens en pump.fun en cuestión de minutos para llenar la curva de vinculación al 100%. Esto provocó que los listados de Raydium se estancaran.
A partir de ahora, pump.fun asegura que los usuarios afectados durante las horas especificadas recuperarán el 100% o más de la liquidez que tenían antes del ataque.
Este no es el único exploit de los últimos tiempos. Justo un día antes, el protocolo de préstamos de Sonne Finance fue pirateado por 20 millones de dólares. El atacante se salió con la suya con 20 millones de dólares en criptoactivos al explotar una vulnerabilidad en la segunda versión de la plataforma Compound.
The post El lanzador de Memecoin pump.fun explotado por 1,9 millones de dólares y se culpa a un ex empleado appeared first on Invezz