Die Kryptoplattform Pump.fun wurde ausgenutzt, was zu enormen finanziellen Verlusten führte

Am 16. Mai wurde die Meme-Coin-Plattform pump.fun auf Solana ausgenutzt, was zu einem Verlust von SOL im Wert von etwa 2 Millionen US-Dollar führte. Der als Jarrett oder STACCOverflow identifizierte Angreifer manipulierte die Bindungskurve der Plattform mithilfe von Flash-Krediten, um SOL ohne eigene Mittel zu erwerben, und verhinderte so die Notierung von Token an Raydium DEX.

Exploitation of Pump.fun Cryptocurrency Platform Results in Significant Financial Losses

Die Ausnutzung der Kryptowährungsplattform Pump.fun führt zu erheblichen finanziellen Verlusten

On May 16, 2023, at 15:21 UTC, pump.fun, a meme coin creation platform operating within the Solana (SOL) ecosystem, fell victim to a malicious exploitation. The incident resulted in the theft of approximately 12,300 SOL, valued at nearly $2 million at the time of the attack.

Am 16. Mai 2023 um 15:21 UTC wurde pump.fun, eine Plattform zur Erstellung von Meme-Münzen, die im Solana (SOL)-Ökosystem betrieben wird, Opfer einer böswilligen Ausnutzung. Der Vorfall führte zum Diebstahl von etwa 12.300 SOL, was zum Zeitpunkt des Angriffs einen Wert von fast 2 Millionen US-Dollar hatte.

Exploitation Details

Details zur Ausbeutung

The attacker exploited a vulnerability in the platform by utilizing flash loans from Margin.fi. This technique allowed the attacker to obtain SOL without using any of their own funds and subsequently use these funds to purchase pump.fun tokens. The attacker's actions manipulated the platform's bonding curve, pushing it to its limit, and effectively preventing the listing of new tokens on Raydium DEX, a prominent decentralized exchange in the Solana ecosystem.

Der Angreifer nutzte eine Schwachstelle der Plattform aus, indem er Flash-Kredite von Margin.fi nutzte. Diese Technik ermöglichte es dem Angreifer, SOL zu erhalten, ohne eigene Mittel zu verwenden, und diese Mittel anschließend zum Kauf von pump.fun-Token zu verwenden. Die Aktionen des Angreifers manipulierten die Bindungskurve der Plattform, brachten sie an ihre Grenzen und verhinderten effektiv die Notierung neuer Token auf Raydium DEX, einer prominenten dezentralen Börse im Solana-Ökosystem.

Response and Mitigation

Reaktion und Schadensbegrenzung

In response to the attack, the pump.fun team swiftly upgraded its contracts to prevent further exploitation. They also suspended trading on the platform and reassured users that the total value locked (TVL) within the protocol remained secure. The team expressed their commitment to safeguarding their users and cooperating with relevant authorities, including law enforcement, to mitigate the damage caused by the attack.

Als Reaktion auf den Angriff aktualisierte das Team von pump.fun umgehend seine Verträge, um eine weitere Ausbeutung zu verhindern. Sie stellten außerdem den Handel auf der Plattform ein und versicherten den Benutzern, dass der im Protokoll festgelegte Gesamtwert (TVL) weiterhin sicher sei. Das Team brachte seine Entschlossenheit zum Ausdruck, seine Benutzer zu schützen und mit den zuständigen Behörden, einschließlich der Strafverfolgungsbehörden, zusammenzuarbeiten, um den durch den Angriff verursachten Schaden zu begrenzen.

Alleged Attacker Identity

Angebliche Identität des Angreifers

Intriguingly, the attacker in this incident has been identified as a former employee of pump.fun, Jarrett, also known by the pseudonym STACCOverflow. Following the attack, Jarrett took to social media to criticize the company, expressing his dissatisfaction and intent to disrupt its operations. In a series of posts, he alleged mistreatment and expressed a desire to "change the course of history." Jarrett has stated that he has no concerns about potential legal repercussions.

Interessanterweise wurde der Angreifer in diesem Vorfall als ehemaliger Mitarbeiter von pump.fun, Jarrett, identifiziert, der auch unter dem Pseudonym STACCOverflow bekannt ist. Nach dem Angriff kritisierte Jarrett das Unternehmen in den sozialen Medien und brachte seine Unzufriedenheit und seine Absicht zum Ausdruck, den Betrieb zu stören. In einer Reihe von Beiträgen behauptete er Misshandlungen und äußerte den Wunsch, „den Lauf der Geschichte zu ändern“. Jarrett hat erklärt, dass er keine Bedenken hinsichtlich möglicher rechtlicher Konsequenzen habe.

Distribution of Exploited Funds

Verteilung der verwendeten Mittel

Jarrett has also announced his intention to distribute the stolen funds through an airdrop to various online communities, a move that has drawn comparisons to the legendary figure of Robin Hood in the crypto community.

Jarrett hat außerdem seine Absicht angekündigt, die gestohlenen Gelder per Airdrop an verschiedene Online-Communities zu verteilen, ein Schritt, der Vergleiche mit der legendären Figur Robin Hood in der Krypto-Community hervorgerufen hat.

Post-Mortem and Recovery Plan

Obduktions- und Wiederherstellungsplan

Approximately five hours after the initial incident, pump.fun published a post-mortem report. The report detailed the redeployment of contracts and the resumption of trading with a 0% fee for the subsequent seven days. The team also pledged to seed liquidity pools (LPs) for the affected tokens to restore trading functionality.

Ungefähr fünf Stunden nach dem ersten Vorfall veröffentlichte pump.fun einen Obduktionsbericht. Der Bericht beschreibt detailliert die Umschichtung von Kontrakten und die Wiederaufnahme des Handels mit einer Gebühr von 0 % für die folgenden sieben Tage. Das Team versprach außerdem, Liquiditätspools (LPs) für die betroffenen Token einzurichten, um die Handelsfunktionalität wiederherzustellen.

The pump.fun team acknowledged that tokens that reached 100% value between 15:21 and 17:00 UTC were in a state of limbo, unable to be traded until liquidity pools could be deployed. They promised to provide equal or greater SOL liquidity to the affected tokens within 24 hours and expressed confidence in the resilience of the platform.

Das pump.fun-Team räumte ein, dass sich Token, die zwischen 15:21 und 17:00 UTC ihren Wert von 100 % erreichten, in einem Schwebezustand befanden und nicht gehandelt werden konnten, bis Liquiditätspools eingesetzt werden konnten. Sie versprachen, den betroffenen Token innerhalb von 24 Stunden gleiche oder höhere SOL-Liquidität zur Verfügung zu stellen und zeigten sich zuversichtlich in die Widerstandsfähigkeit der Plattform.

Call for Vigilance

Aufruf zur Wachsamkeit

While pump.fun has claimed to have recovered from the attack, the crypto community is urged to remain vigilant. Scammers may attempt to exploit the incident by impersonating the pump.fun team and distributing malicious links under the guise of reimbursement claims. It is essential to exercise caution and only trust official communications from reputable sources.

Während pump.fun behauptet, sich von dem Angriff erholt zu haben, wird die Krypto-Community aufgefordert, wachsam zu bleiben. Betrüger könnten versuchen, den Vorfall auszunutzen, indem sie sich als das pump.fun-Team ausgeben und unter dem Deckmantel von Erstattungsansprüchen schädliche Links verbreiten. Es ist wichtig, Vorsicht walten zu lassen und nur offiziellen Mitteilungen seriöser Quellen zu vertrauen.