Pump.fun 暗号プラットフォームが悪用され、巨額の経済的損失が発生

5月16日、Solana上のpump.funミームコインプラットフォームが悪用され、約200万ドル相当のSOLが損失した。 Jarrett または STACCOverflow として識別される攻撃者は、フラッシュ ローンを使用してプラットフォームの結合曲線を操作し、自己資金なしで SOL を取得し、Raydium DEX へのトークンの上場を阻止しました。

Exploitation of Pump.fun Cryptocurrency Platform Results in Significant Financial Losses

Pump.fun 暗号通貨プラットフォームの悪用により重大な経済的損失が発生

On May 16, 2023, at 15:21 UTC, pump.fun, a meme coin creation platform operating within the Solana (SOL) ecosystem, fell victim to a malicious exploitation. The incident resulted in the theft of approximately 12,300 SOL, valued at nearly $2 million at the time of the attack.

2023年5月16日15時21分（協定世界時）、Solana（SOL）エコシステム内で運営されているミームコイン作成プラットフォームpump.funが悪意のある悪用の被害に遭いました。この事件により、約 12,300 SOL (攻撃当時の価値は 200 万ドル近く) が盗難されました。

Exploitation Details

悪用の詳細

The attacker exploited a vulnerability in the platform by utilizing flash loans from Margin.fi. This technique allowed the attacker to obtain SOL without using any of their own funds and subsequently use these funds to purchase pump.fun tokens. The attacker's actions manipulated the platform's bonding curve, pushing it to its limit, and effectively preventing the listing of new tokens on Raydium DEX, a prominent decentralized exchange in the Solana ecosystem.

攻撃者は、Margin.fi のフラッシュ ローンを利用してプラットフォームの脆弱性を悪用しました。この手法により、攻撃者は自分の資金を一切使用せずに SOL を取得し、その後その資金を使用して Pump.fun トークンを購入することができました。攻撃者の行動はプラットフォームの結合曲線を操作して限界まで押し上げ、Solana エコシステムの著名な分散型取引所である Raydium DEX での新しいトークンの上場を効果的に阻止しました。

Response and Mitigation

対応と緩和

In response to the attack, the pump.fun team swiftly upgraded its contracts to prevent further exploitation. They also suspended trading on the platform and reassured users that the total value locked (TVL) within the protocol remained secure. The team expressed their commitment to safeguarding their users and cooperating with relevant authorities, including law enforcement, to mitigate the damage caused by the attack.

この攻撃に対応して、pump.fun チームはさらなる悪用を防ぐために契約を迅速にアップグレードしました。また、プラットフォームでの取引を停止し、プロトコル内でロックされた合計値（TVL）が安全なままであることをユーザーに安心させました。チームは、ユーザーを保護し、攻撃による被害を軽減するために法執行機関を含む関連当局と協力するという決意を表明した。

Alleged Attacker Identity

攻撃者とされる人物の身元

Intriguingly, the attacker in this incident has been identified as a former employee of pump.fun, Jarrett, also known by the pseudonym STACCOverflow. Following the attack, Jarrett took to social media to criticize the company, expressing his dissatisfaction and intent to disrupt its operations. In a series of posts, he alleged mistreatment and expressed a desire to "change the course of history." Jarrett has stated that he has no concerns about potential legal repercussions.

興味深いことに、この事件の攻撃者は、STACCOverflow という仮名でも知られる、pump.fun の元従業員である Jarrett であることが特定されています。攻撃後、ジャレット氏はソーシャルメディアで同社を批判し、不満と運営を妨害する意図を表明した。同氏は一連の投稿で虐待を主張し、「歴史の流れを変えたい」との願望を表明した。ジャレット氏は、潜在的な法的影響については懸念していないと述べた。

Distribution of Exploited Funds

搾取された資金の分配

Jarrett has also announced his intention to distribute the stolen funds through an airdrop to various online communities, a move that has drawn comparisons to the legendary figure of Robin Hood in the crypto community.

ジャレット氏はまた、盗まれた資金をエアドロップを通じてさまざまなオンラインコミュニティに配布する意向を発表しており、この動きは仮想通貨コミュニティにおける伝説的な人物であるロビン・フッドと比較されている。

Post-Mortem and Recovery Plan

死後および回復計画

Approximately five hours after the initial incident, pump.fun published a post-mortem report. The report detailed the redeployment of contracts and the resumption of trading with a 0% fee for the subsequent seven days. The team also pledged to seed liquidity pools (LPs) for the affected tokens to restore trading functionality.

最初の事件から約 5 時間後、pump.fun は事後報告書を公開しました。報告書では、契約の再展開と、その後7日間の手数料0％での取引再開について詳述した。チームはまた、取引機能を回復するために、影響を受けたトークンに流動性プール（LP）をシードすることも約束しました。

The pump.fun team acknowledged that tokens that reached 100% value between 15:21 and 17:00 UTC were in a state of limbo, unable to be traded until liquidity pools could be deployed. They promised to provide equal or greater SOL liquidity to the affected tokens within 24 hours and expressed confidence in the resilience of the platform.

Pump.fun チームは、協定世界時 15 時 21 分から 17 時の間に 100% の価値に達したトークンは流動性プールが展開されるまで取引できない状態にあり、取引できないことを認めました。彼らは24時間以内に影響を受けるトークンに同等以上のSOL流動性を提供することを約束し、プラットフォームの回復力に自信を表明した。

Call for Vigilance

警戒を呼びかける

While pump.fun has claimed to have recovered from the attack, the crypto community is urged to remain vigilant. Scammers may attempt to exploit the incident by impersonating the pump.fun team and distributing malicious links under the guise of reimbursement claims. It is essential to exercise caution and only trust official communications from reputable sources.

Pump.fun は攻撃から回復したと主張しているが、仮想通貨コミュニティは引き続き警戒するよう求められている。詐欺師は、pump.fun チームになりすまして、返金請求を装って悪意のあるリンクを配布することで、このインシデントを悪用しようとする可能性があります。慎重に行動し、信頼できる情報源からの公式通信のみを信頼することが重要です。