Un ancien employé de Pump. Fun exploite le pouvoir de retrait et entraîne une perte de 1,9 million de dollars
Pump.fun, la rampe de lancement de pièces de monnaie basée sur Solana, a annoncé qu'un ancien employé avait utilisé sa « position privilégiée » pour accéder au « retrait de l'autorité » et avait détourné environ 12 300 SOL, d'une valeur d'environ 1,9 million de dollars à l'époque.
Exploit de prêt flash
A propos de l'exploit, Pump.fun a déclaré dans un message X qu'un ancien employé avait abusé de son accès à l'autorité de retrait, qu'il avait obtenue grâce à son poste précédent au sein de l'entreprise.
En utilisant des prêts flash sur un protocole de prêt Solana, la personne en question a emprunté SOL et acheté des pièces pour les pousser à 100% sur leurs courbes de liaison. Cela leur a permis d'accéder à la liquidité de la courbe obligataire et de rembourser les prêts flash.
Les échanges sur la plateforme ont été interrompus quelques heures plus tard. Sur les 45 millions de dollars de liquidités totales, environ 1,9 millions de dollars ont été touchés. L'équipe Pump.fun a ensuite redéployé les contrats et repris les échanges avec des frais de 0% pendant les sept jours suivants.
La plate-forme de création de pièces meme a en outre noté que les jetons qui ont atteint 100% lors de l'exploit sont actuellement dans les limbes et ne sont pas échangeables jusqu'à ce que des pools de liquidités soient déployés pour eux sur le protocole de prêt Solana, Raydium. Pour compenser les utilisateurs, l'équipe a déclaré qu'elle reconstituerait les pools de liquidités pour les pièces concernées avec une quantité égale ou supérieure de SOL dans les prochaines 24 heures.
Nous avons travaillé avec certains des responsables de la sécurité les plus estimés du secteur, non seulement pour minimiser l'impact de la situation, mais aussi pour garantir que cela ne se reproduira plus jamais.
Fuite de clé privée interne
Avant l'annonce de Pump.fun, Igor Igamberdiev, responsable de la recherche du teneur de marché des crypto-monnaies Wintermute, a attribué le piratage à une fuite de clé privée interne et à un utilisateur X présumé « STACCoverflow ».
Peu de temps après, l'utilisateur X « Stacc » a admis avoir exécuté l'exploit, critiquant leurs « horribles patrons » sur Pump.fun, les décrivant comme un « visage inadapté de la communauté blockchain ».
OFFRE SPÉCIALE (Sponsorisée)
OFFRE LIMITÉE 2024 sur BYDFi Exchange : jusqu'
