La plateforme cryptographique Pump.fun exploitée entraîne d'énormes pertes financières

Le 16 mai, la plateforme de pièces de monnaie Pump.fun sur Solana a été exploitée, entraînant une perte d'environ 2 millions de dollars de SOL. L'attaquant, identifié comme Jarrett ou STACCOverflow, a manipulé la courbe de liaison de la plateforme à l'aide de prêts flash pour acquérir SOL sans ses propres fonds, empêchant ainsi les jetons de s'inscrire sur Raydium DEX.

Exploitation of Pump.fun Cryptocurrency Platform Results in Significant Financial Losses

L’exploitation de la plateforme de crypto-monnaie Pump.fun entraîne des pertes financières importantes

On May 16, 2023, at 15:21 UTC, pump.fun, a meme coin creation platform operating within the Solana (SOL) ecosystem, fell victim to a malicious exploitation. The incident resulted in the theft of approximately 12,300 SOL, valued at nearly $2 million at the time of the attack.

Le 16 mai 2023, à 15h21 UTC, Pump.fun, une plateforme de création de pièces de monnaie opérant au sein de l'écosystème Solana (SOL), a été victime d'une exploitation malveillante. L'incident a entraîné le vol d'environ 12 300 SOL, évalués à près de 2 millions de dollars au moment de l'attaque.

Exploitation Details

Détails de l'exploitation

The attacker exploited a vulnerability in the platform by utilizing flash loans from Margin.fi. This technique allowed the attacker to obtain SOL without using any of their own funds and subsequently use these funds to purchase pump.fun tokens. The attacker's actions manipulated the platform's bonding curve, pushing it to its limit, and effectively preventing the listing of new tokens on Raydium DEX, a prominent decentralized exchange in the Solana ecosystem.

L'attaquant a exploité une vulnérabilité de la plateforme en utilisant des prêts flash de Margin.fi. Cette technique a permis à l'attaquant d'obtenir SOL sans utiliser aucun de ses propres fonds et d'utiliser ensuite ces fonds pour acheter des jetons Pump.fun. Les actions de l'attaquant ont manipulé la courbe de liaison de la plate-forme, la poussant à ses limites et empêchant efficacement la cotation de nouveaux jetons sur Raydium DEX, un échange décentralisé de premier plan dans l'écosystème Solana.

Response and Mitigation

Réponse et atténuation

In response to the attack, the pump.fun team swiftly upgraded its contracts to prevent further exploitation. They also suspended trading on the platform and reassured users that the total value locked (TVL) within the protocol remained secure. The team expressed their commitment to safeguarding their users and cooperating with relevant authorities, including law enforcement, to mitigate the damage caused by the attack.

En réponse à l'attaque, l'équipe de Pump.fun a rapidement amélioré ses contrats pour empêcher toute exploitation ultérieure. Ils ont également suspendu les échanges sur la plateforme et rassuré les utilisateurs sur le fait que la valeur totale verrouillée (TVL) au sein du protocole restait sécurisée. L'équipe a exprimé son engagement à protéger ses utilisateurs et à coopérer avec les autorités compétentes, y compris les forces de l'ordre, pour atténuer les dommages causés par l'attaque.

Alleged Attacker Identity

Identité présumée de l'attaquant

Intriguingly, the attacker in this incident has been identified as a former employee of pump.fun, Jarrett, also known by the pseudonym STACCOverflow. Following the attack, Jarrett took to social media to criticize the company, expressing his dissatisfaction and intent to disrupt its operations. In a series of posts, he alleged mistreatment and expressed a desire to "change the course of history." Jarrett has stated that he has no concerns about potential legal repercussions.

Curieusement, l'attaquant dans cet incident a été identifié comme étant un ancien employé de Pump.fun, Jarrett, également connu sous le pseudonyme de STACCOverflow. Après l'attaque, Jarrett a critiqué l'entreprise sur les réseaux sociaux, exprimant son mécontentement et son intention de perturber ses opérations. Dans une série de messages, il a dénoncé des mauvais traitements et exprimé son désir de « changer le cours de l’histoire ». Jarrett a déclaré qu'il n'avait aucune inquiétude quant aux répercussions juridiques potentielles.

Distribution of Exploited Funds

Répartition des fonds exploités

Jarrett has also announced his intention to distribute the stolen funds through an airdrop to various online communities, a move that has drawn comparisons to the legendary figure of Robin Hood in the crypto community.

Jarrett a également annoncé son intention de distribuer les fonds volés via un parachutage à diverses communautés en ligne, une décision qui a établi des comparaisons avec la figure légendaire de Robin des Bois dans la communauté crypto.

Post-Mortem and Recovery Plan

Plan d'autopsie et de rétablissement

Approximately five hours after the initial incident, pump.fun published a post-mortem report. The report detailed the redeployment of contracts and the resumption of trading with a 0% fee for the subsequent seven days. The team also pledged to seed liquidity pools (LPs) for the affected tokens to restore trading functionality.

Environ cinq heures après l'incident initial, Pump.fun a publié un rapport post-mortem. Le rapport détaille le redéploiement des contrats et la reprise des échanges avec des frais de 0 % pour les sept jours suivants. L'équipe s'est également engagée à créer des pools de liquidité (LP) pour les jetons concernés afin de restaurer la fonctionnalité de trading.

The pump.fun team acknowledged that tokens that reached 100% value between 15:21 and 17:00 UTC were in a state of limbo, unable to be traded until liquidity pools could be deployed. They promised to provide equal or greater SOL liquidity to the affected tokens within 24 hours and expressed confidence in the resilience of the platform.

L'équipe Pump.fun a reconnu que les jetons qui atteignaient une valeur de 100 % entre 15h21 et 17h00 UTC étaient dans un état d'incertitude, incapables d'être échangés jusqu'à ce que des pools de liquidités puissent être déployés. Ils ont promis de fournir une liquidité SOL égale ou supérieure aux jetons concernés dans les 24 heures et ont exprimé leur confiance dans la résilience de la plateforme.

Call for Vigilance

Appel à la vigilance

While pump.fun has claimed to have recovered from the attack, the crypto community is urged to remain vigilant. Scammers may attempt to exploit the incident by impersonating the pump.fun team and distributing malicious links under the guise of reimbursement claims. It is essential to exercise caution and only trust official communications from reputable sources.

Bien que Pump.fun ait affirmé s'être remis de l'attaque, la communauté crypto est invitée à rester vigilante. Les fraudeurs peuvent tenter d'exploiter l'incident en se faisant passer pour l'équipe Pump.fun et en diffusant des liens malveillants sous couvert de demandes de remboursement. Il est essentiel de faire preuve de prudence et de se fier uniquement aux communications officielles provenant de sources fiables.